تثبيت خدمة الدخول المُوحَّد (SSO) على Edge

الإصدار 4.18.01 من Edge الخاص بخدمة Private Cloud

يتم تثبيت نُسخ متعددة من الدخول المُوحَّد (SSO) على Edge في حالة توفّر عالية في حالتَين:

  • في بيئة واحدة من مركز بيانات، يمكنك تثبيت مثيلين من اتصال Edge الخاص بخدمة Edge لإنشاء بيئة ذات توفّر عالٍ، ما يعني أنّ النظام يواصل العمل في حال تعطُّل إحدى وحدات Edge SAML.
  • في بيئة تشتمل على مركزي بيانات، عليك تثبيت خدمة Edge المُوحَّدة (SSO) في شبكة Edge في كلا مركزَي البيانات حتى يستمر النظام في العمل في حال تعطُّل إحدى وحدات Edge SAML.

تثبيت وحدتين للدخول الموحّد (SSO) في Edge في مركز البيانات نفسه

يتم نشر مثيلين من الدخول الموحَّد (SSO) في Edge على عُقد مختلفة في مركز بيانات واحد لإتاحة ارتفاع مدى التوفُّر. في هذا السيناريو:

  • يجب توصيل كلتا النسختين من تسجيل الدخول المُوحَّد (SSO) على Edge بحساب Postgres نفسه. تنصح Apigee باستخدام خادم Postgres مخصَّص لخدمة Edge {/9}وعدم استخدام خادم Postgres نفسه الذي تم تثبيته مع Edge.
  • تتطلّب منك استخدام جهاز موازنة الحمل أمام مثيلتَي تسجيل الدخول المُوحَّد (SSO) على Edge:
    • يجب أن يتوافق جهاز موازنة الحمل مع معدّل تكرار استخدام ملفات تعريف الارتباط الذي ينشئه التطبيق، ويجب تسمية ملف تعريف الارتباط للجلسة JSESSIONID.
    • يجب ضبط جهاز موازنة الحمل لإجراء فحص لصحة بروتوكول TCP أو HTTP على خدمة Edge المُوحَّد (SSO). بالنسبة إلى بروتوكول TCP، استخدِم عنوان URL للدخول المُوحَّد (SSO) في Edge:

      http_or_https://edge_sso_IP_DNS:9099

      حدِّد المنفذ على النحو الذي تم ضبطه من خلال الدخول المُوحَّد (SSO) في Edge. المنفذ 9099 هو المنفذ التلقائي.

      بالنسبة إلى بروتوكول HTTP، عليك تضمين /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • تعتمد بعض إعدادات جهاز موازنة الحمل على ما إذا كنت قد فعّلت بروتوكول HTTPS مع الدخول المُوحَّد (SSO) على Edge. راجِع الأقسام التالية للحصول على مزيد من المعلومات.

استخدام الوصول عبر HTTP إلى الدخول الموحَّد (SSO) في Edge

إذا كنت تستخدم إمكانية الوصول عبر HTTP إلى الدخول المُوحَّد (SSO) في Edge، اضبط جهاز موازنة الحمل من أجل:

  • استخدام وضع HTTP للاتصال للدخول الموحّد في Edge
  • الاستماع على المنفذ نفسه الذي يعمل فيه الدخول المُوحَّد (SSO) على Edge

    بشكل تلقائي، يرصد Edge الدخول المُوحَّد (SSO) طلبات HTTP على المنفذ 9099. اختياريًا، يمكنك استخدام SSO_TOMCAT_PORT لضبط منفذ الدخول المُوحَّد (SSO) في Edge. إذا كنت قد استخدمت SSO_TOMCAT_PORT لتغيير منفذ Edge الخاص بخدمة الدخول الموحّد (SSO) من الإعداد التلقائي، تأكَّد من أنّ جهاز موازنة الحمل يستمع إلى هذا المنفذ.

على سبيل المثال، في كل مثيل لخدمة الدخول المُوحَّد (SSO) على Edge، يمكنك ضبط المنفذ على 9033 من خلال إضافة ما يلي إلى ملف الإعداد:

SSO_TOMCAT_PORT=9033

بعد ذلك، يمكنك ضبط جهاز موازنة الحمل للاستماع عبر المنفذ 9033 وإعادة توجيه الطلبات إلى مثيل Edge الخاص بخدمة الدخول المُوحَّد (SSO) على المنفذ 9033. عنوان URL العام للدخول الموحّد في Edge في هذا السيناريو هو:

http://LB_DNS_NAME:9033

استخدام الوصول عبر HTTPS إلى الدخول الموحَّد (SSO) في Edge

يمكنك ضبط حالات تسجيل الدخول المُوحَّد (SSO) على Edge لاستخدام HTTPS. في هذا السيناريو، اتّبِع الخطوات الواردة في ضبط apigee-sso للوصول إلى HTTPS. وكجزء من عملية تفعيل HTTPS، يتم ضبط SSO_TOMCAT_PROFILE في ملف إعداد Edge الخاص بخدمة Edge كما هو موضّح أدناه:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

يمكنك أيضًا، اختياريًا، ضبط المنفذ الذي يستخدمه "الدخول الموحّد" (SSO) على Edge للوصول إلى HTTPS:

SSO_TOMCAT_PORT=9443

في حال استخدام الوصول عبر HTTPS إلى الدخول المُوحَّد (SSO) في Edge، اضبط جهاز موازنة الحمل لتنفيذ ما يلي:

  • استخدام وضع TCP، وليس وضع HTTP، للاتصال بخدمة Edge الدخول المُوحَّد (SSO)
  • استمع إلى المنفذ نفسه الذي يتم فيه استخدام الدخول المُوحَّد (SSO) على Edge كما هو موضح في SSO_TOMCAT_PORT.

بعد ذلك، يمكنك ضبط جهاز موازنة الحمل لإعادة توجيه الطلبات إلى مثيل Edge الخاص بخدمة الدخول المُوحَّد (SSO) على المنفذ 9433. عنوان URL العام للدخول الموحّد في Edge في هذا السيناريو هو:

https://LB_DNS_NAME:9443

تثبيت خدمة الدخول المُوحَّد (SSO) في Edge في مراكز بيانات متعدّدة

في بيئة مراكز بيانات متعددة، تقوم بتثبيت مثيل Edge الخاص بخدمة Edge في كل مركز بيانات. ثم يعالج مثيل خدمة الدخول المُوحَّد (SSO) في Edge جميع حركة البيانات. وإذا تعطل مثيل Edge الخاص بخدمة Edge، يمكنك حينئذ التبديل إلى المثيل الثاني لخدمة الدخول المُوحَّد (SSO) من Edge.

قبل تثبيت الدخول المُوحَّد (SSO) عبر Edge في مركزي بيانات، ستحتاج إلى ما يلي:

  • عنوان IP أو اسم النطاق لخادم Master Postgres.

    في بيئة مراكز بيانات متعددة، يمكنك عادةً تثبيت خادم Postgres واحد في كل مركز بيانات وإعداده في وضع النسخ المتماثل في وضع الاستعداد الرئيسي. في هذا المثال، يتضمّن مركز البيانات 1 خادم Postgres الرئيسي ويحتوي مركز البيانات 2 على Standby. لمزيد من المعلومات، يُرجى الاطّلاع على إعداد النسخ المماثل لوضع الاستعداد لـ Postgres.
  • إدخال واحد لنظام أسماء النطاقات يشير إلى مثيل واحد للدخول الموحَّد (SSO) في Edge. على سبيل المثال، يمكنك إنشاء إدخال نظام أسماء النطاقات في النموذج أدناه والذي يشير إلى مثيل الدخول الموحَّد (SSO) في Edge في مركز البيانات 1:

    my-sso.domain.com => apigee-sso-dc1-ip-or-lb

عند تثبيت الدخول المُوحَّد (SSO) في Edge في كل مركز بيانات، يمكنك ضبط كليهما لاستخدام Postgres Master في مركز البيانات 1:

## Postgres configuration.
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
?PG_PORT=5432

ويمكنك أيضًا ضبط كليهما لاستخدام إدخال نظام أسماء النطاقات كعنوان URL متاح للجميع:

# Externally accessible URL of Edge SSO.
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

إذا تعطل الدخول المُوحَّد (SSO) في Edge في مركز البيانات 1، يمكنك التبديل إلى مثيل Edge الخاص بخدمة Edge في مركز البيانات 2:

  • حوِّل خادم Postgres Standby في مركز البيانات 2 إلى خادم رئيسي كما هو موضَّح في معالجة تعذُّر معالجة قاعدة بيانات PostgreSQL.
  • عدِّل سجلّ نظام أسماء النطاقات لتوجيه my-sso.domain.com إلى مثيل Edge الخاص بخدمة Edge في مركز البيانات 2:
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  • تحديث ملف إعداد Edge SAML في مركز البيانات 2 للتوجيه إلى خادم Postgres Master الجديد في مركز البيانات 2:
    ## Postgres configuration.
    PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  • أعِد تشغيل الدخول المُوحَّد (SSO) إلى Edge في مركز البيانات 2 لتعديل الضبط:
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart