Bu sayfa, Cloud Translation API ile çevrilmiştir.

Private Cloud için Edge'de SAML'yi destekleme

Private Cloud için Edge v. 4.17.09

Edge Kullanıcı Arayüzü ve Edge management API'si, Uç Yönetim Sunucusu'na istek göndererek çalışır. Uç Yönetim Sunucusu'nda Yönetim Sunucusu aşağıdaki kimlik doğrulama türlerini destekler:

Temel Kimlik Doğrulama Edge kullanıcı arayüzüne giriş yapın veya kullanıcı adınızı ve şifrenizi göndererek Edge yönetim API'sine istek gönderin.
OAuth2 Edge Temel Kimlik Doğrulama kimlik bilgilerinizi OAuth2 erişim jetonu ve yenileme jetonuyla değiştirin. Bir API çağrısının Bearer üst bilgisinde OAuth2 erişim jetonunu geçirerek Edge yönetim API'sine çağrı yapın.

Edge, kimlik doğrulama mekanizması olarak Güvenlik Onayı Biçimlendirme Dili (SAML) 2.0'ı da destekler. SAML etkinken Edge kullanıcı arayüzü ve Edge management API erişiminde OAuth2 erişim jetonları kullanılmaya devam eder. Ancak artık bu jetonları bir SAML kimlik sağlayıcısı tarafından döndürülen SAML onaylarından oluşturabilirsiniz.

Not: Yalnızca kimlik doğrulama sistemi olarak SAML desteklenir. Provizyon için desteklenmez. Bu nedenle, yetkilendirme bilgilerini korumak için Edge OpenLDAP veritabanını kullanmaya devam edersiniz. Daha fazla bilgi için Rol atama bölümüne bakın.

SAML, tek oturum açma (TOA) ortamını destekler. Edge ile SAML'i kullanarak, sağladığınız ve SAML'i destekleyen diğer hizmetlerin yanı sıra Edge kullanıcı arayüzü ve API için de TOA'yı destekleyebilirsiniz.

Private Cloud için Edge'e OAuth2 desteği eklendi

Yukarıda belirtildiği gibi, SAML'in Edge uygulaması OAuth2 erişim jetonlarını kullanır.Bu nedenle, Özel Bulut için Edge'e OAuth2 desteği eklenmiştir. Daha fazla bilgi için OAuth 2.0'a giriş başlıklı makaleyi inceleyin.

SAML'nin avantajları

SAML kimlik doğrulaması çeşitli avantajlar sunar. SAML'i kullanarak şunları yapabilirsiniz:

Kullanıcı yönetiminin tam kontrolünü ele alın. Kullanıcılar kuruluşunuzdan ayrıldığında ve merkezi olarak temel hazırlığı kaldırıldığında Edge'e erişimleri otomatik olarak reddedilir.
Kullanıcıların Edge'e erişmek için kimlik doğrulamasını nasıl yapacağını kontrol edin. Farklı Edge kuruluşları için farklı kimlik doğrulama türleri seçebilirsiniz.
Kimlik doğrulama politikalarını kontrol etme. SAML sağlayıcınız, kuruluş standartlarınıza daha uygun kimlik doğrulama politikalarını destekleyebilir.
Edge dağıtımınızda girişleri, çıkışları, başarısız giriş denemelerini ve yüksek riskli etkinlikleri izleyebilirsiniz.

Edge ile SAML'i kullanma

Edge'de SAML'yi desteklemek için Edge TOA modülü olan apigee-sso'yu yüklersiniz. Aşağıdaki resimde, Özel Bulut için Edge kurulumunda Edge TOA gösterilmektedir:

Edge TOA modülünü Edge kullanıcı arayüzü ve yönetim sunucusuyla aynı düğüme veya kendi düğümüne yükleyebilirsiniz. Edge TOA'nın 8080 numaralı bağlantı noktası üzerinden Yönetim Sunucusu'na erişebildiğinden emin olun.

Tarayıcıdan, harici SAML IdP'den ve Yönetim Sunucusu ve Uç kullanıcı arayüzünden Edge TOA'ya erişimi desteklemek için 9099 numaralı bağlantı noktasının Uç TOA düğümünde açık olması gerekir. Edge SSO'yu yapılandırırken harici bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanacağını belirtebilirsiniz.

Edge TOA, Postgres düğümünün 5432 numaralı bağlantı noktasından erişilebilen bir Postgres veritabanı kullanır. Tipik olarak Edge ile yüklediğiniz aynı Postgres sunucusunu ya bağımsız bir Postgres sunucusu ya da ana/bekleme modunda yapılandırılmış iki Postgres sunucusu kullanabilirsiniz. Postgres sunucunuzun yükü fazlaysa yalnızca Edge TOA için ayrı bir Postgres düğümü oluşturmayı da seçebilirsiniz.

SAML etkinken Edge kullanıcı arayüzüne ve Edge yönetim API'sine erişim için OAuth2 erişim jetonları kullanılır. Bu jetonlar, IDP'niz tarafından döndürülen SAML onaylarını kabul eden Edge TOA modülü tarafından oluşturulur.

SAML onayından oluşturulduktan sonra OAuth jetonu 30 dakika, yenileme jetonu ise 24 saat boyunca geçerlidir. Geliştirme ortamınız, test otomasyonu veya sürekli entegrasyon/sürekli dağıtım (CI/CD) gibi daha uzun süreli jetonlar gerektiren yaygın geliştirme görevleri için otomasyonu destekleyebilir. Otomatik görevler için özel jetonlar oluşturma hakkında bilgi edinmek üzere SAML'i otomatik görevlerle kullanma başlıklı makaleyi inceleyin.

Edge kullanıcı arayüzü ve API URL'leri

Edge kullanıcı arayüzüne ve Edge yönetim API'sine erişmek için kullandığınız URL, SAML'yi etkinleştirmeden öncekiyle aynıdır. Edge kullanıcı arayüzü için:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

Burada edge_ui_IP_DNS, Edge kullanıcı arayüzünü barındıran makinenin IP adresi veya DNS adıdır. Edge kullanıcı arayüzünü yapılandırma kapsamında, bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanmasını belirtebilirsiniz.

Edge management API için:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

Burada ms_IP_DNS, yönetim sunucusunun IP adresi veya DNS adıdır. API'yi yapılandırırken bağlantının HTTP mi yoksa şifrelenmiş HTTPS protokolü mü kullanacağını belirtebilirsiniz.

Edge TOA'da TLS'yi yapılandırma

Varsayılan olarak Edge TOA bağlantısı, Edge TOA modülü olan Apigee-sso adlı düğümde 9099 numaralı bağlantı noktası üzerinden HTTP kullanır. apigee-sso'ya yerleşik olarak HTTP ve HTTPS isteklerini işleyen bir Tomcat örneği bulunur.

Edge TOA ve Tomcat üç bağlantı modunu destekler:

VARSAYILAN: Varsayılan yapılandırma, 9099 bağlantı noktasındaki HTTP isteklerini destekler.
SSL_TERMINATION: Tercih ettiğiniz bağlantı noktasında Edge TOA'ya TLS erişimi etkinleştirildi. Bu mod için bir TLS anahtarı ve sertifikası belirtmeniz gerekir.
SSL_PROXY: Edge TOA'yı proxy modunda yapılandırır. Yani apigee-sso'nun önüne bir yük dengeleyici yüklemiş ve TLS'yi yük dengeleyicide sonlandırmış olursunuz. Yük dengeleyiciden gelen istekler için apigee-sso'da kullanılan bağlantı noktasını belirtebilirsiniz.

Geliştirici Hizmetleri portalı ve API BaaS için SAML desteğini etkinleştirme

Edge için SAML desteğini etkinleştirdikten sonra, dilerseniz SAML'yi aşağıdakiler için etkinleştirebilirsiniz:

API BaaS: Hem BaaS Portal hem de BaaS Stack, kullanıcı kimlik doğrulaması için SAML'yi destekler. Daha fazla bilgi için API BaaS için SAML'yi etkinleştirme başlıklı makaleyi inceleyin.
Geliştirici Hizmetleri portalı: Portal, Edge'e istek gönderirken SAML kimlik doğrulamasını destekler. Bunun, geliştiricilerin portala girişi için kullanılan SAML kimlik doğrulamasından farklı olduğunu unutmayın. Geliştirici girişi için SAML kimlik doğrulamasını ayrı olarak yapılandırırsınız. Daha fazla bilgi için Geliştirici Hizmetleri portalını, Edge ile iletişim kurmak için SAML'i kullanacak şekilde yapılandırma başlıklı makaleyi inceleyin.

Developer Services portalını ve API BaaS'i yapılandırırken Edge ile yüklediğiniz Edge TOA modülünün URL'sini belirtmeniz gerekir:

Edge ve API BaaS aynı Edge TOA modülünü paylaştığı için tek oturum açma özelliğini destekler. Yani Edge veya API BaaS'e giriş yaptığınızda her ikisine de giriş yapmış olursunuz. Bu, tüm kullanıcı kimlik bilgileri için tek bir konumu yönetmeniz gerektiği anlamına da gelir.

İsteğe bağlı olarak tek oturum açma özelliğini de yapılandırabilirsiniz. Edge kullanıcı arayüzünden tek oturum kapatma özelliğini yapılandırma başlıklı makaleyi inceleyin.