پشتیبانی از SAML در Edge برای Private Cloud

Edge for Private Cloud نسخه 4.18.01

Edge UI و Edge management API با ارسال درخواست به سرور Edge Management عمل می‌کنند، جایی که سرور مدیریت از انواع احراز هویت زیر پشتیبانی می‌کند:

  • Basic Auth وارد رابط کاربری Edge شوید یا با ارسال نام کاربری و رمز عبور خود، به API مدیریت Edge درخواست دهید.
  • OAuth2 اعتبارنامه Edge Basic Auth خود را با یک نشانه دسترسی OAuth2 مبادله کنید و توکن تازه سازی کنید. با ارسال نشانه دسترسی OAuth2 در هدر حامل یک تماس API، با Edge management API تماس بگیرید.

Edge همچنین از Security Assertion Markup Language (SAML) 2.0 به عنوان مکانیزم احراز هویت پشتیبانی می کند. با فعال بودن SAML، دسترسی به رابط کاربری Edge و API مدیریت Edge همچنان از نشانه‌های دسترسی OAuth2 استفاده می‌کند. با این حال، اکنون می‌توانید این نشانه‌ها را از اظهارات SAML که توسط یک ارائه‌دهنده هویت SAML بازگردانده شده است، تولید کنید.

توجه : SAML فقط به عنوان مکانیزم احراز هویت پشتیبانی می شود. برای مجوز پشتیبانی نمی شود. بنابراین، شما همچنان از پایگاه داده Edge OpenLDAP برای نگهداری اطلاعات مجوز استفاده می کنید. برای اطلاعات بیشتر به تعیین نقش مراجعه کنید.

SAML از یک محیط ورود واحد (SSO) پشتیبانی می کند. با استفاده از SAML با Edge، می‌توانید از SSO برای رابط کاربری Edge و API علاوه بر هر سرویس دیگری که ارائه می‌دهید و همچنین SAML را پشتیبانی می‌کند، پشتیبانی کنید.

پشتیبانی برای OAuth2 به Edge برای Private Cloud اضافه شده است

همانطور که در بالا ذکر شد، پیاده‌سازی Edge SAML به توکن‌های دسترسی OAuth2 متکی است. بنابراین، پشتیبانی OAuth2 به Edge برای Private Cloud اضافه شده است. برای اطلاعات بیشتر، به مقدمه OAuth 2.0 مراجعه کنید.

مزایای SAML

احراز هویت SAML چندین مزیت را ارائه می دهد. با استفاده از SAML می توانید:

  • کنترل کامل مدیریت کاربر را در دست بگیرید. هنگامی که کاربران سازمان شما را ترک می‌کنند و به‌طور مرکزی از دسترس خارج می‌شوند، به‌طور خودکار از دسترسی به Edge محروم می‌شوند.
  • نحوه احراز هویت کاربران برای دسترسی به Edge را کنترل کنید. شما می توانید انواع مختلف احراز هویت را برای سازمان های مختلف Edge انتخاب کنید.
  • سیاست های احراز هویت را کنترل کنید. ارائه‌دهنده SAML شما ممکن است از خط‌مشی‌های احراز هویتی پشتیبانی کند که با استانداردهای سازمانی شما مطابقت دارند.
  • می‌توانید ورود، خروج از سیستم، تلاش‌های ناموفق برای ورود به سیستم و فعالیت‌های پرخطر در استقرار Edge خود را نظارت کنید.

استفاده از SAML با Edge

برای پشتیبانی از SAML در Edge، apigee-sso ، ماژول Edge SSO را نصب می‌کنید. تصویر زیر Edge SSO را در نصب Edge برای Private Cloud نشان می‌دهد:

می‌توانید ماژول Edge SSO را روی همان گره‌ای که رابط کاربری Edge و سرور مدیریتی دارد یا روی گره خودش نصب کنید. اطمینان حاصل کنید که Edge SSO از طریق پورت 8080 به مدیریت سرور دسترسی دارد.

پورت 9099 باید در گره Edge SSO باز باشد تا از دسترسی به Edge SSO از مرورگر، از SAML IDP خارجی و از مدیریت سرور و Edge UI پشتیبانی کند. به عنوان بخشی از پیکربندی Edge SSO، می توانید مشخص کنید که اتصال خارجی از HTTP یا پروتکل HTTPS رمزگذاری شده استفاده کند.

Edge SSO از پایگاه داده Postgres قابل دسترسی در پورت 5432 در گره Postgres استفاده می کند. معمولاً می‌توانید از همان سرور Postgres که با Edge نصب کرده‌اید، استفاده کنید، یا از یک سرور Postgres مستقل یا دو سرور Postgres که در حالت اصلی/استاندبای پیکربندی شده‌اند. اگر بار روی سرور Postgres شما زیاد است، می‌توانید یک گره Postgres جداگانه فقط برای Edge SSO ایجاد کنید.

با فعال بودن SAML، دسترسی به رابط کاربری Edge و API مدیریت Edge از نشانه‌های دسترسی OAuth2 استفاده می‌کند. این توکن ها توسط ماژول Edge SSO تولید می شوند که اظهارات SAML بازگردانده شده توسط IDP شما را می پذیرد.

هنگامی که از یک ادعای SAML تولید شد، نشانه OAuth به مدت 30 دقیقه و رمز تجدید به مدت 24 ساعت معتبر است. محیط توسعه شما ممکن است از اتوماسیون برای کارهای توسعه رایج پشتیبانی کند، مانند اتوماسیون تست یا یکپارچه سازی مداوم/ استقرار مستمر (CI/CD)، که به نشانه هایی با مدت زمان طولانی تری نیاز دارند. برای اطلاعات در مورد ایجاد نشانه های ویژه برای کارهای خودکار، استفاده از SAML با وظایف خودکار را ببینید.

Edge UI و URL های API

نشانی اینترنتی که برای دسترسی به رابط کاربری Edge و API مدیریت Edge استفاده می‌کنید همان است که قبل از فعال کردن SAML استفاده می‌شد. برای رابط کاربری Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

جایی که edge_ui_IP_DNS آدرس IP یا نام DNS دستگاهی است که رابط کاربری Edge را میزبانی می کند. به عنوان بخشی از پیکربندی رابط کاربری Edge، می توانید تعیین کنید که اتصال از HTTP یا پروتکل HTTPS رمزگذاری شده استفاده کند.

برای API مدیریت Edge:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1  

که در آن ms_IP_DNS آدرس IP یا نام DNS سرور مدیریت است. به عنوان بخشی از پیکربندی API، می توانید تعیین کنید که اتصال از HTTP یا پروتکل HTTPS رمزگذاری شده استفاده کند.

TLS را در Edge SSO پیکربندی کنید

به طور پیش فرض، اتصال به Edge SSO از HTTP روی پورت 9099 در گره میزبان apigee-sso ، ماژول Edge SSO استفاده می کند. ساخته شده در apigee-sso یک نمونه Tomcat است که درخواست های HTTP و HTTPS را مدیریت می کند.

Edge SSO و Tomcat از سه حالت اتصال پشتیبانی می کنند:

  • DEFAULT - پیکربندی پیش فرض از درخواست های HTTP در پورت 9099 پشتیبانی می کند.
  • SSL_TERMINATION - دسترسی TLS به Edge SSO را در پورت انتخابی شما فعال کرد. برای این حالت باید یک کلید و گواهی TLS مشخص کنید.
  • SSL_PROXY - Edge SSO را در حالت پروکسی پیکربندی می‌کند، به این معنی که شما یک load balancer را در مقابل apigee-sso نصب کرده‌اید و TLS را در load balancer خاتمه داده‌اید. می‌توانید پورت مورد استفاده در apigee-sso را برای درخواست‌های load balancer مشخص کنید.

پشتیبانی SAML را برای پورتال Developer Services و برای API BaaS فعال کنید

پس از فعال کردن پشتیبانی SAML برای Edge، می‌توانید به صورت اختیاری SAML را برای موارد زیر فعال کنید:

به عنوان بخشی از پیکربندی پورتال Developer Services و API BaaS، باید URL ماژول Edge SSO را که با Edge نصب کرده‌اید مشخص کنید:

از آنجایی که Edge و API BaaS ماژول Edge SSO یکسانی را به اشتراک می‌گذارند، از یک علامت واحد پشتیبانی می‌کنند. یعنی ورود به Edge یا API BaaS شما را به هر دو وارد می کند. این همچنین به این معنی است که شما فقط باید یک مکان را برای تمام اطلاعات کاربری کاربر حفظ کنید.

می‌توانید به‌صورت اختیاری خروج از سیستم را نیز پیکربندی کنید. به پیکربندی خروجی واحد از رابط کاربری Edge مراجعه کنید.

،

Edge for Private Cloud نسخه 4.18.01

Edge UI و Edge management API با ارسال درخواست به سرور Edge Management عمل می‌کنند، جایی که سرور مدیریت از انواع احراز هویت زیر پشتیبانی می‌کند:

  • Basic Auth وارد رابط کاربری Edge شوید یا با ارسال نام کاربری و رمز عبور خود، به API مدیریت Edge درخواست دهید.
  • OAuth2 اعتبارنامه Edge Basic Auth خود را با یک نشانه دسترسی OAuth2 مبادله کنید و توکن تازه سازی کنید. با ارسال نشانه دسترسی OAuth2 در هدر حامل یک تماس API، با Edge management API تماس بگیرید.

Edge همچنین از Security Assertion Markup Language (SAML) 2.0 به عنوان مکانیزم احراز هویت پشتیبانی می کند. با فعال بودن SAML، دسترسی به رابط کاربری Edge و API مدیریت Edge همچنان از نشانه‌های دسترسی OAuth2 استفاده می‌کند. با این حال، اکنون می‌توانید این نشانه‌ها را از اظهارات SAML که توسط یک ارائه‌دهنده هویت SAML بازگردانده شده است، تولید کنید.

توجه : SAML فقط به عنوان مکانیزم احراز هویت پشتیبانی می شود. برای مجوز پشتیبانی نمی شود. بنابراین، شما همچنان از پایگاه داده Edge OpenLDAP برای نگهداری اطلاعات مجوز استفاده می کنید. برای اطلاعات بیشتر به تعیین نقش مراجعه کنید.

SAML از یک محیط ورود واحد (SSO) پشتیبانی می کند. با استفاده از SAML با Edge، می‌توانید از SSO برای رابط کاربری Edge و API علاوه بر سایر خدماتی که ارائه می‌دهید و SAML را نیز پشتیبانی می‌کنند، پشتیبانی کنید.

پشتیبانی برای OAuth2 به Edge برای Private Cloud اضافه شده است

همانطور که در بالا ذکر شد، پیاده‌سازی Edge SAML به توکن‌های دسترسی OAuth2 متکی است. بنابراین، پشتیبانی OAuth2 به Edge برای Private Cloud اضافه شده است. برای اطلاعات بیشتر، به مقدمه OAuth 2.0 مراجعه کنید.

مزایای SAML

احراز هویت SAML چندین مزیت را ارائه می دهد. با استفاده از SAML می توانید:

  • کنترل کامل مدیریت کاربر را در دست بگیرید. هنگامی که کاربران سازمان شما را ترک می‌کنند و به‌طور مرکزی از دسترس خارج می‌شوند، به‌طور خودکار از دسترسی به Edge محروم می‌شوند.
  • نحوه احراز هویت کاربران برای دسترسی به Edge را کنترل کنید. شما می توانید انواع مختلف احراز هویت را برای سازمان های مختلف Edge انتخاب کنید.
  • سیاست های احراز هویت را کنترل کنید. ارائه‌دهنده SAML شما ممکن است از خط‌مشی‌های احراز هویتی پشتیبانی کند که با استانداردهای سازمانی شما مطابقت دارند.
  • می‌توانید ورود، خروج از سیستم، تلاش‌های ناموفق برای ورود به سیستم و فعالیت‌های پرخطر در استقرار Edge خود را کنترل کنید.

استفاده از SAML با Edge

برای پشتیبانی از SAML در Edge، apigee-sso ، ماژول Edge SSO را نصب می‌کنید. تصویر زیر Edge SSO را در نصب Edge برای Private Cloud نشان می‌دهد:

می‌توانید ماژول Edge SSO را روی همان گره‌ای که رابط کاربری Edge و سرور مدیریتی دارد یا روی گره خودش نصب کنید. اطمینان حاصل کنید که Edge SSO از طریق پورت 8080 به مدیریت سرور دسترسی دارد.

پورت 9099 باید روی گره Edge SSO باز باشد تا از دسترسی به Edge SSO از مرورگر، از SAML IDP خارجی و از مدیریت سرور و Edge UI پشتیبانی کند. به عنوان بخشی از پیکربندی Edge SSO، می توانید مشخص کنید که اتصال خارجی از HTTP یا پروتکل HTTPS رمزگذاری شده استفاده کند.

Edge SSO از پایگاه داده Postgres قابل دسترسی در پورت 5432 در گره Postgres استفاده می کند. معمولاً می‌توانید از همان سرور Postgres که با Edge نصب کرده‌اید، استفاده کنید، یا یک سرور Postgres مستقل یا دو سرور Postgres که در حالت Master/Standby پیکربندی شده‌اند. اگر بار روی سرور Postgres شما زیاد است، می‌توانید یک گره Postgres جداگانه فقط برای Edge SSO ایجاد کنید.

با فعال بودن SAML، دسترسی به رابط کاربری Edge و API مدیریت Edge از نشانه‌های دسترسی OAuth2 استفاده می‌کند. این توکن ها توسط ماژول Edge SSO تولید می شوند که اظهارات SAML بازگردانده شده توسط IDP شما را می پذیرد.

هنگامی که از یک ادعای SAML تولید شد، نشانه OAuth به مدت 30 دقیقه و رمز تجدید به مدت 24 ساعت معتبر است. محیط توسعه شما ممکن است از اتوماسیون برای کارهای توسعه رایج پشتیبانی کند، مانند اتوماسیون تست یا یکپارچه سازی مداوم/ استقرار مستمر (CI/CD)، که به نشانه هایی با مدت زمان طولانی تری نیاز دارند. برای اطلاعات در مورد ایجاد نشانه های ویژه برای کارهای خودکار، استفاده از SAML با وظایف خودکار را ببینید.

Edge UI و URL های API

نشانی اینترنتی که برای دسترسی به رابط کاربری Edge و API مدیریت Edge استفاده می‌کنید همان است که قبل از فعال کردن SAML استفاده می‌شد. برای رابط کاربری Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

جایی که edge_ui_IP_DNS آدرس IP یا نام DNS دستگاهی است که رابط کاربری Edge را میزبانی می کند. به عنوان بخشی از پیکربندی رابط کاربری Edge، می توانید تعیین کنید که اتصال از HTTP یا پروتکل HTTPS رمزگذاری شده استفاده کند.

برای API مدیریت Edge:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1  

که در آن ms_IP_DNS آدرس IP یا نام DNS سرور مدیریت است. به عنوان بخشی از پیکربندی API، می توانید تعیین کنید که اتصال از HTTP یا پروتکل HTTPS رمزگذاری شده استفاده کند.

TLS را در Edge SSO پیکربندی کنید

به طور پیش فرض، اتصال به Edge SSO از HTTP روی پورت 9099 در گره میزبان apigee-sso ، ماژول Edge SSO استفاده می کند. ساخته شده در apigee-sso یک نمونه Tomcat است که درخواست های HTTP و HTTPS را مدیریت می کند.

Edge SSO و Tomcat از سه حالت اتصال پشتیبانی می کنند:

  • DEFAULT - پیکربندی پیش فرض از درخواست های HTTP در پورت 9099 پشتیبانی می کند.
  • SSL_TERMINATION - دسترسی TLS به Edge SSO را در پورت انتخابی شما فعال کرد. برای این حالت باید یک کلید و گواهی TLS مشخص کنید.
  • SSL_PROXY - Edge SSO را در حالت پروکسی پیکربندی می‌کند، به این معنی که شما یک load balancer را در مقابل apigee-sso نصب کرده‌اید و TLS را در load balancer خاتمه داده‌اید. می‌توانید پورت مورد استفاده در apigee-sso را برای درخواست‌های load balancer مشخص کنید.

پشتیبانی SAML را برای پورتال Developer Services و برای API BaaS فعال کنید

پس از فعال کردن پشتیبانی SAML برای Edge، می‌توانید به صورت اختیاری SAML را برای موارد زیر فعال کنید:

به عنوان بخشی از پیکربندی پورتال Developer Services و API BaaS، باید URL ماژول Edge SSO را که با Edge نصب کرده‌اید مشخص کنید:

از آنجایی که Edge و API BaaS ماژول Edge SSO یکسانی را به اشتراک می‌گذارند، از یک علامت واحد پشتیبانی می‌کنند. یعنی ورود به Edge یا API BaaS شما را به هر دو وارد می کند. این همچنین به این معنی است که شما فقط باید یک مکان را برای تمام اطلاعات کاربری کاربر حفظ کنید.

می‌توانید به‌صورت اختیاری خروج از سیستم را نیز پیکربندی کنید. به پیکربندی خروجی واحد از رابط کاربری Edge مراجعه کنید.