การสนับสนุน SAML บน Edge สําหรับ Private Cloud

Edge for Private Cloud v. 4.17.09

UI ของ Edge และ Edge Management API ทํางานโดยการส่งคําขอไปยังเซิร์ฟเวอร์การจัดการ Edge ซึ่งเซิร์ฟเวอร์การจัดการรองรับการตรวจสอบสิทธิ์ประเภทต่อไปนี้

  • การตรวจสอบสิทธิ์พื้นฐาน เข้าสู่ระบบ UI ของ Edge หรือส่งคําขอไปยัง Edge Management API โดยส่งชื่อผู้ใช้และรหัสผ่าน
  • OAuth2 แลกเปลี่ยนข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์พื้นฐานของ Edge เพื่อรับโทเค็นการเข้าถึงและโทเค็นการรีเฟรช OAuth2 เรียกใช้ API การจัดการ Edge ด้วยการส่งโทเค็นการเข้าถึง OAuth2 ในส่วนหัว Bearer ของการเรียก API

นอกจากนี้ Edge ยังรองรับ Security Assertion Markup Language (SAML) 2.0 เป็นกลไกการตรวจสอบสิทธิ์ด้วย เมื่อเปิดใช้ SAML การเข้าถึง Edge UI และ Edge Management API จะยังคงใช้โทเค็นเพื่อการเข้าถึง OAuth2 แต่ตอนนี้คุณสามารถสร้างโทเค็นเหล่านี้จากการยืนยัน SAML ที่แสดงโดยผู้ให้บริการข้อมูลประจำตัว SAML

หมายเหตุ: ระบบรองรับ SAML เป็นกลไกการตรวจสอบสิทธิ์เท่านั้น เนื่องจากระบบไม่รองรับการให้สิทธิ์ คุณจึงยังคงใช้ฐานข้อมูล OpenLDAP ของ Edge เพื่อดูแลรักษาข้อมูลการให้สิทธิ์ ดูข้อมูลเพิ่มเติมในการมอบหมายบทบาท

SAML รองรับระบบการลงชื่อเพียงครั้งเดียว (SSO) การใช้ SAML กับ Edge จะช่วยให้คุณรองรับ SSO สำหรับ UI และ API ของ Edge ได้ นอกเหนือจากบริการอื่นๆ ที่คุณมีให้และรองรับ SAML ด้วย

เพิ่มการรองรับ OAuth2 ให้กับ Edge สำหรับ Private Cloud

ดังที่กล่าวไว้ข้างต้น การใช้งาน SAML ของ Edge อาศัยโทเค็นการเข้าถึง OAuth2 ดังนั้นจึงมีการเพิ่มการรองรับ OAuth2 ลงใน Edge สำหรับ Private Cloud ดูข้อมูลเพิ่มเติมได้ที่ข้อมูลเบื้องต้นเกี่ยวกับ OAuth 2.0

ข้อดีของ SAML

การตรวจสอบสิทธิ์ SAML มีข้อดีหลายประการ เมื่อใช้ SAML คุณจะทำสิ่งต่อไปนี้ได้

  • ควบคุมการจัดการผู้ใช้ได้อย่างเต็มที่ เมื่อผู้ใช้ออกจากองค์กรและมีการยกเลิกการจัดสรรจากส่วนกลาง ผู้ใช้เหล่านั้นจะถูกปฏิเสธไม่ให้เข้าถึง Edge โดยอัตโนมัติ
  • ควบคุมวิธีที่ผู้ใช้ตรวจสอบสิทธิ์เพื่อเข้าถึง Edge คุณเลือกการตรวจสอบสิทธิ์ประเภทต่างๆ สำหรับองค์กร Edge ที่แตกต่างกันได้
  • ควบคุมนโยบายการตรวจสอบสิทธิ์ ผู้ให้บริการ SAML อาจรองรับนโยบายการตรวจสอบสิทธิ์ที่สอดคล้องกับมาตรฐานขององค์กรมากกว่า
  • คุณสามารถตรวจสอบการเข้าสู่ระบบ การออกจากระบบ การพยายามเข้าสู่ระบบที่ไม่สำเร็จ และกิจกรรมที่มีความเสี่ยงสูงในการติดตั้งใช้งาน Edge

การใช้ SAML กับ Edge

หากต้องการรองรับ SAML ใน Edge ให้ติดตั้ง apigee-sso ซึ่งเป็นโมดูล SSO ของ Edge รูปภาพต่อไปนี้แสดง SSO ของ Edge ในการติดตั้ง Edge สำหรับ Private Cloud

คุณสามารถติดตั้งโมดูล SSO ของ Edge ในโหนดเดียวกับ UI และเซิร์ฟเวอร์การจัดการของ Edge หรือจะติดตั้งในโหนดของตัวเองก็ได้ ตรวจสอบว่า Edge SSO มีสิทธิ์เข้าถึงเซิร์ฟเวอร์การจัดการผ่านพอร์ต 8080

พอร์ต 9099 ต้องเปิดอยู่ในโหนด SSO ของ Edge เพื่อรองรับการเข้าถึง SSO ของ Edge จากเบราว์เซอร์ จาก SAML IDP ภายนอก และจากเซิร์ฟเวอร์การจัดการและ UI ของ Edge ในการกําหนดค่า SSO ของ Edge คุณสามารถระบุให้การเชื่อมต่อภายนอกใช้โปรโตคอล HTTP หรือ HTTPS ที่เข้ารหัส

SSO ของ Edge ใช้ฐานข้อมูล Postgres ที่เข้าถึงได้บนพอร์ต 5432 ในโหนด Postgres โดยปกติแล้ว คุณจะใช้เซิร์ฟเวอร์ Postgres เดียวกันกับที่ติดตั้งกับ Edge ได้ ไม่ว่าจะเป็นเซิร์ฟเวอร์ Postgres แบบสแตนด์อโลนหรือเซิร์ฟเวอร์ Postgres 2 เครื่องที่กำหนดค่าไว้ในโหมดหลัก/สแตนด์บาย หากเซิร์ฟเวอร์ Postgres ของคุณมีภาระงานสูง คุณสามารถเลือกสร้างโหนด Postgres แยกต่างหากสำหรับ SSO ของ Edge เท่านั้นได้

เมื่อเปิดใช้ SAML การเข้าถึง UI ของ Edge และ Edge Management API จะใช้โทเค็นการเข้าถึง OAuth2 โทเค็นเหล่านี้สร้างขึ้นโดยโมดูล Edge SSO ซึ่งยอมรับการยืนยัน SAML ที่ IdP ของคุณส่งคืน

เมื่อสร้างจากข้อความยืนยัน SAML แล้ว โทเค็น OAuth จะใช้งานได้ 30 นาทีและโทเค็นรีเฟรชจะใช้งานได้ 24 ชั่วโมง สภาพแวดล้อมการพัฒนาอาจรองรับการทำงานอัตโนมัติสําหรับงานพัฒนาทั่วไป เช่น การทํางานอัตโนมัติของชุดทดสอบหรือการรวมอย่างต่อเนื่อง/การติดตั้งใช้งานอย่างต่อเนื่อง (CI/CD) ซึ่งต้องใช้โทเค็นที่มีระยะเวลานานขึ้น ดูข้อมูลเกี่ยวกับการสร้างโทเค็นพิเศษสำหรับงานอัตโนมัติได้ที่การใช้ SAML กับงานอัตโนมัติ

URL ของ UI และ API ของ Edge

URL ที่คุณใช้เข้าถึง UI ของ Edge และ Edge Management API จะเหมือนกับที่ใช้ก่อนเปิดใช้ SAML สำหรับ UI ของ Edge

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

โดยที่ edge_ui_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของเครื่องที่โฮสต์ UI ของ Edge ในการกําหนดค่า UI ของ Edge คุณสามารถระบุให้การเชื่อมต่อใช้ HTTP หรือโปรโตคอล HTTPS ที่เข้ารหัส

สําหรับ Management API ของ Edge ให้ทำดังนี้

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

โดยที่ ms_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของเซิร์ฟเวอร์การจัดการ ในการกําหนดค่า API คุณสามารถระบุให้การเชื่อมต่อใช้ HTTP หรือโปรโตคอล HTTPS ที่เข้ารหัส

กำหนดค่า TLS ใน SSO ของ Edge

โดยค่าเริ่มต้น การเชื่อมต่อกับ SSO ของ Edge จะใช้ HTTP ผ่านพอร์ต 9099 ในโหนดที่โฮสต์ apigee-sso ซึ่งเป็นโมดูล SSO ของ Edge apigee-sso ประกอบด้วยอินสแตนซ์ Tomcat ที่จัดการคําขอ HTTP และ HTTPS

Edge SSO และ Tomcat รองรับโหมดการเชื่อมต่อ 3 โหมด ได้แก่

  • ค่าเริ่มต้น - การกําหนดค่าเริ่มต้นรองรับคําขอ HTTP ในพอร์ต 9099
  • SSL_TERMINATION - เปิดใช้การเข้าถึง TLS ไปยัง SSO ของ Edge ในพอร์ตที่ต้องการ คุณต้องระบุคีย์และใบรับรอง TLS สำหรับโหมดนี้
  • SSL_PROXY - กําหนดค่า SSO ของ Edge ในโหมดพร็อกซี ซึ่งหมายความว่าคุณได้ติดตั้งตัวจัดสรรภาระงานไว้ด้านหน้า apigee-sso และสิ้นสุด TLS ในตัวจัดสรรภาระงาน คุณสามารถระบุพอร์ตที่ใช้ใน apigee-sso สําหรับคําขอจากโปรแกรมกระจายภาระ

เปิดใช้การรองรับ SAML สำหรับพอร์ทัลบริการสำหรับนักพัฒนาซอฟต์แวร์และ API BaaS

หลังจากเปิดใช้การรองรับ SAML สำหรับ Edge แล้ว คุณสามารถเลือกเปิดใช้ SAML สำหรับสิ่งต่อไปนี้ได้

คุณต้องระบุ URL ของโมดูล SSO ของ Edge ที่คุณติดตั้งด้วย Edge ซึ่งเป็นส่วนหนึ่งของการกำหนดค่าพอร์ทัลบริการสำหรับนักพัฒนาซอฟต์แวร์และ API BaaS

เนื่องจาก Edge และ API BaaS ใช้โมดูล SSO ของ Edge เดียวกัน จึงรองรับการลงชื่อเพียงครั้งเดียว กล่าวคือ การเข้าสู่ระบบ Edge หรือ API BaaS จะเข้าสู่ระบบทั้ง 2 อย่าง ซึ่งหมายความว่าคุณต้องเก็บรักษาข้อมูลเข้าสู่ระบบของผู้ใช้ไว้เพียงตำแหน่งเดียว

คุณยังกําหนดค่าการออกจากระบบครั้งเดียวได้ด้วย ดูกำหนดค่าการลงชื่อออกครั้งเดียวจาก UI ของ Edge