Esta página foi traduzida pela API Cloud Translation.

Compatibilidade com SAML no Edge para nuvem privada

Edge para nuvem privada v4.18.01

A interface e a API de gerenciamento de borda funcionam fazendo solicitações ao servidor de gerenciamento de borda, em que o servidor de gerenciamento oferece suporte aos seguintes tipos de autenticação:

Autenticação básica: faça login na interface do Edge ou faça solicitações para o gerenciamento do Edge. com seu nome de usuário e senha.
OAuth2 Troque as credenciais do Edge Basic Auth por um acesso do OAuth2. e o token de atualização. Fazer chamadas para a API Edge Management transmitindo o acesso ao OAuth2 no cabeçalho do portador de uma chamada de API.

O Edge também oferece suporte à Linguagem de marcação para autorização de segurança (SAML) 2.0 como autenticação mecanismo de atenção. Com o SAML ativado, o acesso à interface e à API Edge Management ainda usa o OAuth2. ou tokens de acesso. No entanto, agora você pode gerar esses tokens de declarações SAML retornadas por uma solicitação SAML provedor de identidade externo.

Observação: o SAML é aceito apenas como mecanismo de autenticação. Não é têm suporte para autorização. Portanto, você ainda usa o banco de dados Edge OpenLDAP para manter informações de autorização. Consulte Como atribuir funções para mais.

O SAML é compatível com um ambiente de Logon único (SSO). Ao usar o SAML com o Edge, você oferece suporte ao SSO para a interface e a API do Edge, além de todos os outros serviços que você fornece e que também SAML.

Suporte adicionado para OAuth2 ao Edge for Private Nuvem

Como mencionado acima, a implementação do Edge para SAML depende de tokens de acesso OAuth2. O suporte a OAuth2 foi adicionado ao Edge para nuvem privada. Para mais informações, consulte Introdução ao OAuth 2.0.

Vantagens do SAML

A autenticação SAML oferece várias vantagens. Ao usar a SAML, você pode:

Assuma o controle total do gerenciamento de usuários. Quando os usuários deixam a organização e desprovisionados centralmente, o acesso ao Edge é negado automaticamente.
Controle como os usuários se autenticam para acessar o Edge. É possível escolher diferentes tipos de autenticação para diferentes organizações de Edge.
Controlar políticas de autenticação. Seu provedor de SAML pode ser compatível com políticas de autenticação que estejam mais alinhadas com os padrões da sua empresa.
Você pode monitorar logins, logouts, tentativas de login malsucedidas e atividades de alto risco no implantação do Edge.

Como usar SAML com o Edge

Para oferecer suporte ao SAML no Edge, instale o apigee-sso, o módulo SSO do Edge. A A imagem a seguir mostra o Edge SSO em um Edge para instalação de nuvem privada:

É possível instalar o módulo SSO de Borda no mesmo nó que a IU de Borda e o Servidor de Gerenciamento ou em um nó próprio. Verifique se o SSO de Borda tem acesso ao Servidor de Gerenciamento pela porta 8080.

A porta 9099 precisa estar aberta no nó SSO do Edge para permitir o acesso ao SSO do Edge por um navegador. do IdP SAML externo e do servidor de gerenciamento e da interface de borda. Como parte da configuração SSO de borda, é possível especificar que a conexão externa usa HTTP ou HTTPS criptografado protocolo.

O SSO do Edge usa um banco de dados do Postgres acessível na porta 5432 no nó do Postgres. Normalmente, pode usar o mesmo servidor Postgres que você instalou com o Edge, seja um Postgres autônomo; ou dois servidores Postgres configurados no modo mestre/de espera. Se a carga no Postgres for alto, também será possível criar um nó do Postgres separado apenas para o SSO de borda.

Com o SAML ativado, o acesso à interface e à API Edge Management usa tokens de acesso OAuth2. Esses tokens são gerados pelo módulo SSO do Edge, que aceita declarações SAML retornadas pelo seu IdP.

Depois de gerado a partir de uma declaração SAML, o token OAuth é válido por 30 minutos e a atualização é válido por 24 horas. Seu ambiente de desenvolvimento pode oferecer suporte à automação para tarefas tarefas de desenvolvimento, como automação de testes ou integração contínua/implantação contínua (CI/CD), que exigem tokens com uma duração maior. Consulte Como usar SAML com tarefas automatizadas para mais informações sobre a criação de tokens especiais para tarefas automatizadas.

URLs de API e interface do usuário do Edge

O URL que você usa para acessar a interface e a API Edge Management é o mesmo usado anteriormente. com o SAML ativado. Na interface do Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

em que edge_ui_IP_DNS é o endereço IP ou nome DNS da máquina que hospeda a interface do Edge. Como parte da configuração da interface do usuário do Edge, é possível especificar que a conexão use o HTTP ou o protocolo HTTPS criptografado.

Para a API Edge Management:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

em que ms_IP_DNS é o endereço IP ou nome DNS do servidor Servidor. Como parte da configuração da API, você pode especificar que a conexão use HTTP ou o protocolo HTTPS criptografado.

Configurar TLS no SSO de borda

Por padrão, a conexão com o SSO de Borda usa HTTP pela porta 9099 no nó que hospeda apigee-sso, o módulo SSO do Edge. Integrado ao apigee-sso está um Tomcat que processa as solicitações HTTP e HTTPS.

O Edge SSO e o Tomcat são compatíveis com três modos de conexão:

DEFAULT: a configuração padrão oferece suporte a solicitações HTTP na porta. 9099.
SSL_TERMINATION: ativou o acesso TLS ao SSO do Edge na porta do uma melhor opção. É necessário especificar uma chave TLS e um certificado para esse modo.
SSL_PROXY: configura o SSO do Edge em modo proxy, ou seja, você instalou um balanceador de carga na frente do apigee-sso e encerrar o TLS no de carga. É possível especificar a porta usada na apigee-sso para solicitações da carga de carga.

Ativar suporte a SAML para o Portal de serviços para desenvolvedores e para o API BaaS

Depois de ativar o suporte a SAML para o Edge, você poderá ativar o SAML para:

API BaaS: o portal e a pilha BaaS oferecem suporte a SAML para o usuário autenticação. Consulte Como ativar o SAML para o API BaaS para mais.
Portal de serviços para desenvolvedores: o portal oferece suporte à autenticação SAML fazer solicitações ao Edge. Ela é diferente da autenticação SAML para desenvolvedores faça login no portal. A autenticação SAML é configurada para o login de desenvolvedor separadamente. Consulte Como configurar o o portal de serviços para desenvolvedores usa o SAML para comunicação com o Edge.

Como parte da configuração do portal de serviços para desenvolvedores e do API BaaS, você precisa especificar o URL do o módulo SSO do Edge instalado com o Edge:

Como o Edge e o BaaS de API compartilham o mesmo módulo SSO do Edge, eles oferecem suporte ao logon único. Isso fazer login no Edge ou na API BaaS conecta você a ambos. Isso também significa que você só precisa manter um local para todas as credenciais de usuário.

Também é possível configurar o logout único. Consulte Configurar logout único na interface do Edge.