Compatibilité SAML sur Edge pour le cloud privé

Edge pour Private Cloud v4.18.01

L'interface utilisateur Edge et l'API de gestion Edge fonctionnent en envoyant des demandes au serveur de gestion Edge, Le serveur de gestion prend en charge les types d'authentification suivants:

  • Authentification de base Connectez-vous à l'interface utilisateur Edge ou envoyez des requêtes à la gestion Edge en transmettant votre nom d'utilisateur et votre mot de passe.
  • OAuth2 Échangez vos identifiants d'authentification de base Edge contre un accès OAuth2 et le jeton d'actualisation. Passez des appels à l'API de gestion Edge en transmettant l'accès OAuth2 dans l'en-tête de support d'un appel d'API.

Edge prend également en charge le langage SAML (Security Assertion Markup Language) 2.0 comme protocole d'authentification sur le mécanisme d'attention. Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise toujours OAuth2 des jetons d'accès. Toutefois, vous pouvez désormais générer ces jetons à partir d'assertions SAML renvoyées par un d'un fournisseur d'identité.

Remarque: SAML est le seul mécanisme d'authentification accepté. Il n'est pas n'est pas pris en charge pour l'autorisation. Par conséquent, vous utilisez toujours la base de données Edge OpenLDAP pour gérer les informations d'autorisation. Consultez la section Attribuer des rôles pour plus encore.

SAML prend en charge un environnement d'authentification unique (SSO). En utilisant SAML avec Edge, vous pouvez prendre en charge pour l'interface utilisateur et l'API Edge en plus des autres services que vous fournissez et qui prennent également en charge SAML.

Ajout de la prise en charge d'OAuth2 à Edge for Private Cloud

Comme indiqué ci-dessus, l'implémentation Edge de SAML repose sur les jetons d'accès OAuth2.Par conséquent, La prise en charge d'OAuth2 a été ajoutée à Edge pour Private Cloud. Pour en savoir plus, consultez la page Présentation d'OAuth 2.0.

Avantages de SAML

L'authentification SAML offre plusieurs avantages. Avec SAML, vous pouvez effectuer les opérations suivantes :

  • Prenez le contrôle total de la gestion des utilisateurs. Lorsque des utilisateurs quittent votre organisation déprovisionné de manière centralisée, l'accès à Edge est automatiquement refusé.
  • Contrôlez la façon dont les utilisateurs s'authentifient pour accéder à Edge. Vous pouvez choisir différentes méthodes d'authentification pour les différentes organisations Edge.
  • Contrôler les règles d'authentification Votre fournisseur SAML est peut-être compatible avec les règles d'authentification davantage conformes aux normes de votre entreprise.
  • Vous pouvez surveiller les connexions, les déconnexions, les tentatives de connexion infructueuses et les activités à haut risque sur votre déploiement en périphérie.

Utilisation de SAML avec Edge

Pour prendre en charge SAML sur Edge, installez apigee-sso, le module d'authentification unique Edge. La l'image suivante montre Edge SSO dans une installation Edge pour Private Cloud:

Vous pouvez installer le module Edge SSO sur le même nœud que Edge UI and Management Server, ou sur son propre nœud. Assurez-vous que Edge SSO a accès au serveur de gestion sur le port 8080.

Le port 9099 doit être ouvert sur le nœud Edge SSO pour permettre l'accès à Edge SSO à partir d'un navigateur. depuis l'IdP SAML externe, et depuis le serveur de gestion et l'interface utilisateur Edge. Lors de la configuration Edge SSO, vous pouvez spécifier que la connexion externe utilise le protocole HTTP ou le protocole HTTPS standard.

Edge SSO utilise une base de données Postgres accessible sur le port 5432 sur le nœud Postgres. En général, vous vous pouvez utiliser le même serveur Postgres que celui installé avec Edge, soit un serveur Postgres ou deux serveurs Postgres configurés en mode maître/veille. Si la charge sur votre système Postgres est élevé, vous pouvez également choisir de créer un nœud Postgres distinct uniquement pour Edge SSO.

Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise des jetons d'accès OAuth2. Ces jetons sont générés par le module Edge SSO qui accepte les assertions SAML renvoyées par votre IdP.

Une fois généré à partir d'une assertion SAML, le jeton OAuth est valide pendant 30 minutes et l'actualisation est valide pendant 24 heures. Il est possible que votre environnement de développement soit compatible avec l'automatisation des tâches de développement telles que l'automatisation des tests ou l'intégration continue/le déploiement continu. (CI/CD), qui nécessitent des jetons de plus longue durée. Pour en savoir plus sur la création de tâches, consultez Utiliser SAML avec des tâches automatisées. des jetons spéciaux pour les tâches automatisées.

URL de l'interface utilisateur et de l'API Edge

L'URL que vous utilisez pour accéder à l'interface utilisateur Edge et à l'API de gestion Edge est la même qu'avant vous avez activé SAML. Pour l'interface utilisateur Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

edge_ui_IP_DNS est l'adresse IP ou le nom DNS de la machine hébergeant l'interface utilisateur Edge. Dans le cadre de la configuration de l'interface utilisateur Edge, vous pouvez spécifier que la connexion utilise HTTP ou HTTPS chiffré.

Pour l'API de gestion Edge:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1  

ms_IP_DNS est l'adresse IP ou le nom DNS de l'administrateur Google Cloud. Lors de la configuration de l'API, vous pouvez spécifier que la connexion utilise le protocole HTTP ou protocole HTTPS chiffré.

Configurer TLS sur l'authentification unique Edge

Par défaut, la connexion à Edge SSO utilise HTTP sur le port 9099 sur le nœud hébergeant le nœud apigee-sso, le module Edge SSO. Un objet Tomcat intégré à apigee-sso qui gère les requêtes HTTP et HTTPS.

Edge SSO et Tomcat prennent en charge trois modes de connexion:

  • PAR DÉFAUT : la configuration par défaut accepte les requêtes HTTP sur le port. 9099.
  • SSL_TERMINATION : l'accès TLS à Edge SSO a été activé sur le port de votre ce choix. Vous devez spécifier une clé et un certificat TLS pour ce mode.
  • SSL_PROXY : configure Edge SSO en mode proxy, ce qui signifie que vous avez installé un équilibreur de charge devant apigee-sso et a mis fin au protocole TLS sur la charge de votre équilibreur de charge. Vous pouvez spécifier le port utilisé sur apigee-sso pour les requêtes provenant de la charge de votre équilibreur de charge.

Activer la prise en charge SAML pour le Portail de services pour les développeurs et API BaaS

Après avoir activé la prise en charge SAML pour Edge, vous pouvez éventuellement activer SAML pour:

Lorsque vous configurez le portail de services pour les développeurs et l'API BaaS, vous devez spécifier l'URL module Edge SSO que vous avez installé avec Edge:

Comme Edge et API BaaS partagent le même module Edge SSO, ils prennent en charge l'authentification unique. Cela la connexion à Edge ou à API BaaS vous connecte aux deux. Cela signifie également que vous n'avez qu'à conserver un emplacement unique pour tous les identifiants des utilisateurs.

Vous pouvez également configurer la déconnexion unique (facultatif). Voir Configurer la déconnexion unique à partir de l'interface utilisateur Edge.