إتاحة SAML على Edge في السحابة الإلكترونية الخاصة

الإصدار 4.18.01 من Edge for Private Cloud

تعمل واجهة مستخدم Edge وEdge management API من خلال تقديم طلبات إلى خادم إدارة Edge، حيث يتيح خادم الإدارة أنواع المصادقة التالية:

  • المصادقة الأساسية تسجيل الدخول إلى واجهة مستخدم Edge أو تقديم طلبات إلى إدارة Edge API من خلال إدخال اسم المستخدم وكلمة المرور.
  • OAuth2 تبادل بيانات اعتماد مصادقة Edge Basic للوصول إلى OAuth2 الرمز المميز وإعادة التحميل. إجراء اتصالات بواجهة برمجة تطبيقات إدارة Edge من خلال تمرير وصول OAuth2 في عنوان الحامل الخاص بطلب بيانات من واجهة برمجة التطبيقات.

يدعم Edge أيضًا لغة ترميز تأكيد الأمان (SAML) 2.0 كمصادقة. الآلية. عند تفعيل SAML، سيظل الوصول إلى واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge يستخدمان OAuth2 رموز الدخول. ومع ذلك، يمكنك الآن إنشاء هذه الرموز المميزة من تأكيدات SAML التي تم عرضها بواسطة SAML موفر الهوية.

ملاحظة: لا يتم دعم SAML كآلية المصادقة إلا. لا المدعومة للتفويض. ومن ثم، ستستمر في استخدام قاعدة بيانات Edge OpenLDAP للاحتفاظ معلومات التفويض. الاطّلاع على تعيين الأدوار لـ أخرى.

يتوافق SAML مع بيئة الدخول المُوحَّد (SSO). من خلال استخدام SAML مع Edge، يمكنك توفير خدمة الدخول المُوحَّد (SSO) لواجهة المستخدم وواجهة برمجة التطبيقات Edge بالإضافة إلى أي خدمات أخرى تقدمها وتدعم أيضًا SAML.

تمت إضافة دعم OAuth2 إلى Edge for Private السحابة

كما ذكرنا أعلاه، يعتمد تنفيذ Edge لـ SAML على رموز الدخول OAuth2.لذلك، تمت إضافة دعم OAuth2 إلى Edge for Private Cloud. لمزيد من المعلومات، يمكنك الاطّلاع على مقدمة عن OAuth 2.0.

مزايا SAML

تقدم مصادقة SAML العديد من المزايا. باستخدام SAML، يمكنك إجراء ما يلي:

  • يمكنك التحكّم بشكلٍ كامل في إدارة المستخدمين. عندما يغادر المستخدمون مؤسستك تم إلغاء الإذن بالوصول مركزيًا، يتم منعهم تلقائيًا من الوصول إلى Edge.
  • التحكُّم في كيفية مصادقة المستخدمين للوصول إلى Edge يمكنك اختيار طرق مصادقة مختلفة المختلفة لمؤسسات Edge المختلفة.
  • التحكم في سياسات المصادقة. قد يوفّر موفِّر SAML سياسات المصادقة التي تتوافق بشكل أكبر مع معايير مؤسستك
  • يمكنك مراقبة عمليات تسجيل الدخول، وعمليات تسجيل الخروج، ومحاولات تسجيل الدخول غير الناجحة، والأنشطة عالية الخطورة على نشر Edge.

استخدام SAML مع Edge

للتوافق مع SAML على Edge، عليك تثبيت apigee-sso، وهي وحدة الدخول الموحّد في Edge. تشير رسالة الأشكال البيانية تُظهر الصورة التالية الدخول الموحّد (SSO) إلى Edge في متصفح Edge لتثبيت Private Cloud:

يمكنك تثبيت وحدة الدخول الموحَّد (SSO) على Edge على نفس العقدة مع واجهة مستخدم Edge وخادم الإدارة، أو على الجزء الخاص بها. تأكَّد من إمكانية وصول الدخول المُوحَّد (SSO) في Edge إلى خادم الإدارة عبر المنفذ 8080.

يجب فتح المنفذ 9099 في عقدة خدمة Edge للدخول المُوحَّد (SSO) من أجل إتاحة الوصول إلى هذه الخدمة من خلال المتصفّح. من موفِّر الهوية (idP) الخارجية المستنِد إلى SAML ومن واجهة المستخدم على خادم الإدارة وEdge. وكجزء من عملية تكوين الدخول الموحَّد (SSO) إلى شبكة Edge، يمكنك تحديد أن الاتصال الخارجي يستخدم HTTP أو بروتوكول HTTPS المشفّر. والبروتوكول.

يستخدم EdgeSSO قاعدة بيانات Postgres يمكن الوصول إليها من خلال المنفذ 5432 على عقدة Postgres. أنت عادةً يمكنه استخدام خادم Postgres نفسه الذي ثبَّته مع Edge، إما خادم Postgres مستقل خادم أو خادمين من خوادم Postgres تمت تهيئتهما في وضع رئيسي/وضع الاستعداد. إذا كان التحميل على Postgres الخادم مرتفع، يمكنك أيضًا اختيار إنشاء عقدة Postgres منفصلة فقط للدخول الموحّد (SSO) على Edge.

عند تفعيل SAML، يتم الوصول إلى واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge باستخدام رموز الدخول OAuth2. يتم إنشاء هذه الرموز المميزة بواسطة وحدة الدخول الموحّد (SSO) على شبكة Edge التي تقبل تأكيدات SAML التي يتم إرجاعها بواسطة موفِّر الهوية (idP).

بعد إنشاء رمز OAuth من تأكيد SAML، يكون صالحًا لمدة 30 دقيقة وإعادة التحميل يكون الرمز صالحًا لمدة 24 ساعة. قد تدعم بيئة التطوير أتمتة المهام الشائعة مثل اختبار التشغيل الآلي أو التكامل المستمر أو النشر المستمر (CI/CD)، التي تتطلّب رموزًا مميزة ذات مدة أطول. راجِع استخدام SAML مع المهام المبرمَجة للحصول على معلومات حول إنشاء رموز مميزة خاصة للمهام الآلية.

واجهة مستخدم Edge وعناوين URL لواجهة برمجة التطبيقات

عنوان URL الذي تستخدمه للوصول إلى واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge هو نفسه المستخدم من قبل قمت بتفعيل SAML. بالنسبة إلى واجهة مستخدم Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

حيث يكون edge_ui_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات للجهاز. لاستضافة واجهة مستخدم Edge. كجزء من تهيئة واجهة مستخدم Edge، يمكنك تحديد أن الاتصال يستخدم HTTP أو بروتوكول HTTPS المشفر.

بالنسبة إلى واجهة برمجة تطبيقات إدارة Edge:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1

حيث يكون ms_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات لإدارة الخادم. كجزء من تهيئة واجهة برمجة التطبيقات، يمكنك تحديد أن الاتصال يستخدم HTTP أو بروتوكول HTTPS المشفر.

ضبط بروتوكول أمان طبقة النقل (TLS) على خدمة Edge المُوحَّد (SSO)

بشكل تلقائي، يستخدم الاتصال بخدمة الدخول المُوحَّد (SSO) على شبكة Edge HTTP عبر المنفذ 9099 على مضيف العقدة apigee-sso، وحدة الدخول الموحَّد (SSO) على Edge. أداة apigee-sso هي مُدمَجة في نموذج Tomcat مثيل معالجة طلبات HTTP وHTTPS.

توفِّر خدمة الدخول المُوحَّد (SSO) من شبكة Edge وTomcat ثلاثة أوضاع للاتصال:

  • تلقائي - تتوافق الإعدادات التلقائية مع طلبات HTTP على المنفذ. 9099.
  • SSL_TERMINATION - تم تفعيل وصول "بروتوكول أمان طبقة النقل" (TLS) إلى الدخول المُوحَّد (SSO) في Edge على منفذ خِيَار. يجب تحديد مفتاح بروتوكول أمان طبقة النقل وشهادة لهذا الوضع.
  • SSL_PROXY - لضبط الدخول الموحَّد (SSO) إلى Edge في وضع الخادم الوكيل، ما يعني أنك ثبَّت جهاز موازنة الحمل في واجهة apigee-sso وتمّ إنهاء بروتوكول أمان طبقة النقل (TLS) عند التحميل موازِن. يمكنك تحديد المنفذ المستخدم في apigee-sso للطلبات من التحميل موازِن.

تفعيل دعم SAML بوابة خدمات المطوّرين وBaaS لواجهة برمجة التطبيقات

بعد تفعيل توافُق SAML مع Edge، يمكنك اختياريًا تفعيل SAML لما يلي:

كجزء من عملية إعداد بوابة خدمات المطوّرين وBaaS لواجهة برمجة التطبيقات، عليك تحديد عنوان URL وحدة الدخول المُوحَّد (SSO) في Edge التي ثبَّتها باستخدام Edge:

نظرًا إلى أنّ Edge وBaaS في واجهة برمجة التطبيقات يشتركان في وحدة تسجيل الدخول الموحَّد (SSO) لتطبيق Edge، فهي تتيحان الدخول الموحّد. الذي تسجيل الدخول إلى أي من Edge أو BaaS لواجهة برمجة التطبيقات لتسجيلك في كليهما. هذا يعني أيضًا أنه يجب عليك فقط الاحتفاظ بموقع واحد لجميع بيانات اعتماد المستخدم.

ويمكنك أيضًا اختياريًا ضبط تسجيل خروج موحّد. يُرجى الاطّلاع على إعداد تسجيل خروج فردي من واجهة مستخدم Edge.