Định cấu hình cổng Dịch vụ dành cho nhà phát triển để sử dụng SAML nhằm giao tiếp với Edge

Edge for Private Cloud phiên bản 4.18.01

Cổng dịch vụ cho nhà phát triển hoạt động như một khách hàng của Apigee Edge. Điều đó có nghĩa là cổng thông tin không hoạt động như một hệ thống độc lập. Thay vào đó, phần lớn thông tin được cổng thông tin sử dụng thực sự được lưu trữ trên Edge. Khi cần thiết, cổng thông tin sẽ thực hiện yêu cầu truy xuất thông tin từ Edge hoặc để gửi thông tin tới Edge.

Cổng thông tin luôn được liên kết với một tổ chức Edge duy nhất. Khi bạn định cấu hình phần cổng thông tin, bạn có thể chỉ định thông tin xác thực cơ bản (tên người dùng và mật khẩu) cho trong tổ chức mà cổng thông tin dùng để giao tiếp với Edge.

Nếu chọn bật SAML cho phương thức xác thực Edge, thì bạn có thể định cấu hình cổng thông tin để sử dụng Xác thực SAML khi gửi yêu cầu tới Edge. Định cấu hình cổng thông tin để sử dụng SAML tự động tạo một tài khoản người dùng máy mới trong tổ chức Edge mà sau đó cổng thông tin dùng để gửi yêu cầu đến Edge. Để biết thêm thông tin về người dùng máy, hãy xem phần Sử dụng SAML với tác vụ tự động.

Hỗ trợ SAML cho cổng thông tin yêu cầu bạn đã cài đặt và định cấu hình Edge Mô-đun SSO trên nút Máy chủ quản lý máy tính biên. Quy trình chung để bật SAML cho cổng thông tin là:

  1. Định cấu hình SAML trên Edge theo mô tả trong phần Cài đặt và định cấu hình SAML cho Cạnh. Lưu ý: Bạn vẫn phải bật tính năng Xác thực cơ bản trên Edge để cài đặt cổng thông tin. Không tắt tính năng Xác thực cơ bản trên Edge cho đến khi bạn định cấu hình cổng thông tin để sử dụng SAML.
  2. Cài đặt cổng thông tin và đảm bảo rằng quá trình cài đặt đang diễn ra đúng cách. Xem phần Cài đặt Edge để bảo mật cổng Dịch vụ dành cho nhà phát triển của Cloud.
  3. Định cấu hình SAML trên cổng thông tin.
  4. Giờ đây, bạn có thể tắt tính năng Xác thực cơ bản trên Edge.

Tạo người dùng máy cho cổng thông tin

Khi bật SAML, Edge sẽ hỗ trợ việc tạo mã thông báo OAuth2 tự động thông qua việc sử dụng người dùng máy. Người dùng máy có thể lấy mã thông báo OAuth2 mà không cần chỉ định mật mã. Điều đó có nghĩa là bạn có thể tự động hoá hoàn toàn quy trình lấy và làm mới OAuth2 mã thông báo.

Quá trình cấu hình SAML cho cổng sẽ tự động tạo người dùng máy trong tổ chức liên kết với cổng thông tin. Sau đó, cổng thông tin sử dụng tài khoản người dùng trên máy này để kết nối với Edge. Để biết thêm thông tin về người dùng máy, hãy xem phần Sử dụng SAML có thao tác tự động.

Giới thiệu về tính năng xác thực dành cho nhà phát triển cổng thông tin tài khoản

Khi định cấu hình cổng thông tin để dùng SAML, bạn sẽ cho phép cổng đó dùng SAML để xác thực với Edge để cổng thông tin có thể gửi yêu cầu đến Edge. Tuy nhiên, cổng thông tin cũng hỗ trợ loại người dùng có tên là nhà phát triển.

Nhà phát triển tạo nên cộng đồng người dùng xây dựng ứng dụng bằng cách sử dụng API của bạn. Nhà phát triển ứng dụng sử dụng cổng thông tin để tìm hiểu về API, để đăng ký ứng dụng sử dụng API, tương tác với cộng đồng nhà phát triển cũng như để xem thông tin thống kê về mức sử dụng ứng dụng của họ trên bảng điều khiển.

Khi nhà phát triển đăng nhập vào cổng thông tin, đó chính là cổng chịu trách nhiệm cho xác thực nhà phát triển và thực thi các quyền dựa trên vai trò. Cổng thông tin sẽ tiếp tục sử dụng phương thức xác thực cơ bản với nhà phát triển ngay cả sau khi bạn bật SAML giữa cổng thông tin và Edge. Để biết thêm thông tin, hãy xem bài viết Giao tiếp giữa Portal và Edge.

Bạn cũng có thể định cấu hình cổng thông tin để dùng SAML nhằm xác thực nhà phát triển. Để có một ví dụ về cách bật SAML bằng các mô-đun Drupal của bên thứ ba, hãy xem https://community.apigee.com/articles/29201/sso-integration-via-saml-with-developer-portal.html.

Định cấu hình SAML trên cổng thông tin để giao tiếp với Edge

Để định cấu hình SAML cho cổng, bạn phải tạo tệp cấu hình để định cấu hình cổng thông tin:

# IP address of Edge Management Server and apigee-sso node.
IP1=22.222.22.222

# URL of Edge management API.
MGMT_URL=http://$IP1:8080/v1

# Org associated with the portal.
EDGE_ORG=myorg

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP1
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# Default is "n" to disable SAML support.
DEVPORTAL_SSO_ENABLED=y

# The name of the OAuth client used to connect to apigee-sso. 
# The default client name is portalcli.
PORTALCLI_SSO_CLIENT_NAME=portalcli
# Oauth client password using uppercase, lowercase, number, and special chars. 
PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1

# Email address and user info for the machine user created in 
# the Edge org specified above by EDGE_ORG. 
# This account is used by the portal to make requests to Edge.
# Add this email as an org admin before configuring the portal to use SAML. 
DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com
DEVPORTAL_ADMIN_FIRSTNAME=DevPortal
DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin
DEVPORTAL_ADMIN_PWD=Abcdefg@1

# If set, the existing portal OAuth client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you configure SAML and change the value of 
# any of the PORTALCLI_* properties.
PORTALCLI_SSO_CLIENT_OVERWRITE=y

Cách bật tính năng hỗ trợ SAML trên cổng thông tin:

  1. Trong giao diện người dùng Edge, hãy thêm người dùng máy do DEVPORTAL_ADMIN_EMAIL chỉ định vào tổ chức liên kết với cổng thông tin với tư cách là Quản trị viên tổ chức.
    Lưu ý: Người dùng máy chưa tồn tại nhưng được tạo tự động trong bước tiếp theo.
  2. Chạy lệnh sau để định cấu hình SAML trên cổng thông tin:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configuration-sso -f samlConfigFile

    trong đó samlConfigFile là tệp cấu hình SAML.
  3. Đăng nhập vào cổng thông tin với tư cách là quản trị viên cổng thông tin.
  4. Trong trình đơn chính của Drupal, hãy chọn Cấu hình > Cổng thông tin cho nhà phát triển. Cổng thông tin màn hình cấu hình xuất hiện, bao gồm cả các chế độ cài đặt SAML:

    Lưu ý rằng hộp Tổ chức này được bật SAML là được đánh dấu, điểm cuối cho mô-đun SSO của Edge đã được điền, khoá API và Điền vào các trường bí mật của người dùng cho ứng dụng OAuth cổng và thông báo Connection Thành công (Kết nối thành công) xuất hiện trong cửa sổ Test Nút kết nối.

  5. Bạn có thể nhấn nút Test Connection (Kiểm tra kết nối) để kiểm tra lại kết nối tại bất cứ lúc nào.

Để thay đổi các giá trị này sau này, hãy cập nhật tệp cấu hình và chạy lại lệnh.

Tắt SAML trên cổng thông tin

Nếu bạn chọn tắt SAML cho hoạt động giao tiếp giữa cổng thông tin và Edge, cổng thông tin sẽ không thể gửi yêu cầu tới Edge nữa. Nhà phát triển có thể đăng nhập vào cổng nhưng sẽ không thể xem sản phẩm hoặc tạo ứng dụng.

Thận trọng: Nếu tắt SAML, bạn nên định cấu hình lại cổng thông tin để sử dụng SAML hoặc nếu Edge vẫn được định cấu hình để hỗ trợ Xác thực cơ bản, hãy định cấu hình cổng thông tin để giao tiếp với Edge bằng tính năng Xác thực cơ bản. Để biết thêm thông tin về cách sử dụng tính năng Xác thực cơ bản, hãy xem bài viết Giao tiếp giữa Portal và Edge.

Cách tắt SAML trên cổng thông tin:

  1. Chỉnh sửa tệp cấu hình mà bạn đã dùng để định cấu hình SAM để thiết lập:
    DEVPORTAL_SSO_ENABLED=n
  2. Định cấu hình cổng thông tin:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configuration-sso -f configFile