Esta página foi traduzida pela API Cloud Translation.

Compatibilidade com SAML no Edge para nuvem privada

Edge para nuvem privada v. 4.17.09

A interface do Edge e a API de gerenciamento do Edge operam fazendo solicitações para o servidor de gerenciamento do Edge, em que o servidor de gerenciamento oferece suporte aos seguintes tipos de autenticação:

Autenticação básica: faça login na interface do Edge ou faça solicitações para a API de gerenciamento do Edge transmitindo seu nome de usuário e senha.
OAuth2 Troque suas credenciais de autenticação básica do Edge por um token de acesso e de atualização do OAuth2. Faça chamadas para a API de gerenciamento do Edge transmitindo o token de acesso OAuth2 no cabeçalho Bearer de uma chamada de API.

O Edge também oferece suporte à Linguagem de marcação para autorização de segurança (SAML) 2.0 como mecanismo de autenticação. Com o SAML ativado, o acesso à interface do Edge e à API de gerenciamento do Edge ainda usa tokens de acesso OAuth2. No entanto, agora é possível gerar esses tokens com base em declarações SAML retornadas por um provedor de identidade SAML.

Observação: o SAML é aceito apenas como mecanismo de autenticação. Ele não é compatível com a autorização. Portanto, você ainda usa o banco de dados do OpenLDAP do Edge para manter as informações de autorização. Consulte Como atribuir papéis para mais informações.

O SAML é compatível com um ambiente de Logon único (SSO). Ao usar a SAML com o Edge, é possível oferecer suporte ao SSO para a interface e a API do Edge, além de outros serviços que você oferece e que também oferecem suporte à SAML.

Suporte adicionado para OAuth2 no Edge para nuvem privada

Como mencionado acima, a implementação do SAML no Edge depende de tokens de acesso OAuth2.Portanto, o suporte ao OAuth2 foi adicionado ao Edge para nuvem privada. Para mais informações, consulte Introdução ao OAuth 2.0.

Vantagens do SAML

A autenticação SAML oferece várias vantagens. Ao usar a SAML, você pode:

Assuma o controle total do gerenciamento de usuários. Quando os usuários saem da organização e são desprovisionados de maneira centralizada, o acesso deles ao Edge é automaticamente negado.
Controle como os usuários se autenticam para acessar o Edge. É possível escolher diferentes tipos de autenticação para diferentes organizações do Edge.
Controle as políticas de autenticação. Seu provedor SAML pode permitir políticas de autenticação que estejam mais alinhadas aos padrões da sua empresa.
É possível monitorar logins, logouts, tentativas malsucedidas de login e atividades de alto risco na implantação do Edge.

Como usar o SAML com o Edge

Para oferecer suporte à SAML no Edge, instale o apigee-sso, o módulo de SSO do Edge. A imagem a seguir mostra o SSO do Edge em uma instalação do Edge para nuvem privada:

É possível instalar o módulo de SSO do Edge no mesmo nó da IU e do servidor de gerenciamento ou no próprio nó. Verifique se o SSO do Edge tem acesso ao servidor de gerenciamento pela porta 8080.

A porta 9099 precisa estar aberta no nó do SSO do Edge para oferecer suporte ao acesso ao SSO do Edge em um navegador, no IdP SAML externo e no servidor de gerenciamento e na interface do Edge. Como parte da configuração do SSO do Edge, é possível especificar que a conexão externa usa o protocolo HTTP ou o HTTPS criptografado.

O SSO do Edge usa um banco de dados Postgres acessível na porta 5432 no nó Postgres. Normalmente, é possível usar o mesmo servidor Postgres que você instalou com o Edge, um servidor Postgres autônomo ou dois servidores Postgres configurados no modo mestre/standby. Se a carga no seu servidor Postgres for alta, também é possível criar um nó Postgres separado apenas para o SSO do Edge.

Com o SAML ativado, o acesso à interface do Edge e à API de gerenciamento do Edge usa tokens de acesso OAuth2. Esses tokens são gerados pelo módulo de SSO do Edge, que aceita declarações SAML retornadas pelo seu IdP.

Depois de gerado a partir de uma declaração SAML, o token OAuth é válido por 30 minutos, e o token de atualização é válido por 24 horas. Seu ambiente de desenvolvimento pode ser compatível com a automação para tarefas de desenvolvimento comuns, como automação de testes ou integração e implantação contínuas (CI/CD), que exigem tokens com uma duração mais longa. Consulte Como usar o SAML com tarefas automatizadas para informações sobre como criar tokens especiais para tarefas automatizadas.

URLs da API e da IU do Edge

O URL usado para acessar a API de gerenciamento e a interface do Edge é o mesmo usado antes de ativar o SAML. Para a interface do Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

em que edge_ui_IP_DNS é o endereço IP ou o nome DNS da máquina que hospeda a interface Edge. Como parte da configuração da interface do Edge, é possível especificar que a conexão use o protocolo HTTP ou o HTTPS criptografado.

Para a API Edge Management:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

em que ms_IP_DNS é o endereço IP ou nome DNS do servidor de gerenciamento. Como parte da configuração da API, é possível especificar que a conexão use o HTTP ou o protocolo HTTPS criptografado.

Configurar a TLS no SSO do Edge

Por padrão, a conexão com o SSO do Edge usa HTTP na porta 9099 no nó que hospeda apigee-sso, o módulo SSO do Edge. Integrada à apigee-sso está uma instância do Tomcat que processa as solicitações HTTP e HTTPS.

O SSO do Edge e o Tomcat são compatíveis com três modos de conexão:

DEFAULT: a configuração padrão oferece suporte a solicitações HTTP na porta 9099.
SSL_TERMINATION: acesso TLS ativado ao SSO do Edge na porta de sua escolha. É necessário especificar uma chave e um certificado TLS para esse modo.
SSL_PROXY: configura o SSO do Edge no modo de proxy, ou seja, você instalou um balanceador de carga na frente do apigee-sso e encerrou o TLS no balanceador de carga. É possível especificar a porta usada na apigee-sso para solicitações do balanceador de carga.

Ative o suporte a SAML para o portal de serviços para desenvolvedores e para a API BaaS.

Depois de ativar o suporte a SAML para o Edge, você poderá ativar o SAML para:

API BaaS: o Portal BaaS e a pilha BaaS oferecem suporte a SAML para autenticação de usuário. Consulte Como ativar o SAML para o API BaaS para mais informações.
Portal de serviços para desenvolvedores: o portal oferece suporte à autenticação SAML ao fazer solicitações para o Edge. Isso é diferente da autenticação SAML para login do desenvolvedor no portal. A autenticação SAML é configurada para o login de desenvolvedor separadamente. Consulte Como configurar o portal de serviços para desenvolvedores para usar SAML para se comunicar com o Edge para mais informações.

Como parte da configuração do portal de serviços para desenvolvedores e do API BaaS, é necessário especificar o URL do módulo de SSO do Edge que você instalou com o Edge:

Como o Edge e o API BaaS compartilham o mesmo módulo de SSO do Edge, eles oferecem suporte ao logon único. Ou seja, fazer login no Edge ou na API BaaS faz com que você entre nos dois. Isso também significa que você só precisa manter um local para todas as credenciais de usuário.

Também é possível configurar o logout único. Consulte Configurar logout único na interface do Edge.