Mendukung SAML di Edge untuk Private Cloud

Edge untuk Private Cloud v4.18.01

UI Edge dan API pengelolaan Edge beroperasi dengan membuat permintaan ke Server Pengelolaan Edge, dengan Server Pengelolaan mendukung jenis autentikasi berikut:

  • Basic Auth Login ke UI Edge atau buat permintaan ke Edge management API dengan meneruskan nama pengguna dan sandi Anda.
  • OAuth2 Tukarkan kredensial Edge Basic Auth dengan token akses OAuth2 dan token refresh. Lakukan panggilan ke Edge Management API dengan meneruskan token akses OAuth2 di header Pembawa panggilan API.

Edge juga mendukung Security Assertion Markup Language (SAML) 2.0 sebagai mekanisme autentikasi. Dengan mengaktifkan SAML, akses ke UI Edge dan API pengelolaan Edge tetap menggunakan token akses OAuth2. Namun, kini Anda dapat membuat token ini dari pernyataan SAML yang ditampilkan oleh penyedia identitas SAML.

Catatan: SAML hanya didukung sebagai mekanisme autentikasi. Tindakan ini tidak didukung untuk otorisasi. Oleh karena itu, Anda masih menggunakan database Edge OpenLDAP untuk menyimpan informasi otorisasi. Lihat Menetapkan peran untuk mengetahui informasi selengkapnya.

SAML mendukung lingkungan single sign-on (SSO). Dengan menggunakan SAML bersama Edge, Anda dapat mendukung SSO untuk UI dan API Edge selain layanan lain yang Anda berikan dan yang juga mendukung SAML.

Dukungan ditambahkan untuk OAuth2 ke Edge untuk Private Cloud

Seperti yang disebutkan di atas, implementasi Edge SAML bergantung pada token akses OAuth2.Oleh karena itu, dukungan OAuth2 telah ditambahkan ke Edge untuk Private Cloud. Untuk informasi selengkapnya, lihat Pengantar OAuth 2.0.

Keuntungan SAML

Autentikasi SAML menawarkan beberapa keuntungan. Dengan menggunakan SAML, Anda dapat:

  • Kontrol sepenuhnya pengelolaan pengguna. Saat pengguna keluar dari organisasi Anda dan dicabut aksesnya secara terpusat, akses mereka ke Edge akan otomatis ditolak.
  • Kontrol cara pengguna melakukan autentikasi untuk mengakses Edge. Anda dapat memilih jenis autentikasi yang berbeda untuk organisasi Edge yang berbeda.
  • Mengontrol kebijakan autentikasi. Penyedia SAML Anda mungkin mendukung kebijakan autentikasi yang lebih sesuai dengan standar perusahaan Anda.
  • Anda dapat memantau login, logout, upaya login yang gagal, dan aktivitas berisiko tinggi di deployment Edge.

Menggunakan SAML dengan Edge

Untuk mendukung SAML di Edge, Anda harus menginstal apigee-sso, yang merupakan modul SSO Edge. Gambar berikut menunjukkan SSO Edge di Edge untuk penginstalan Private Cloud:

Anda dapat menginstal modul SSO Edge pada node yang sama dengan UI Edge dan Server Pengelolaan, atau pada node-nya sendiri. Pastikan SSO Edge memiliki akses ke Server Pengelolaan melalui port 8080.

Port 9099 harus dibuka di node SSO Edge untuk mendukung akses ke SSO Edge dari browser, dari IDP SAML eksternal, serta dari Server Pengelolaan dan UI Edge. Sebagai bagian dari konfigurasi SSO Edge, Anda dapat menentukan bahwa koneksi eksternal menggunakan protokol HTTP atau HTTPS terenkripsi.

Edge SSO menggunakan database Postgres yang dapat diakses di port 5432 pada node Postgres. Biasanya, Anda dapat menggunakan server Postgres yang sama dengan yang Anda instal dengan Edge, baik server Postgres mandiri atau dua server Postgres yang dikonfigurasi dalam mode master/standby. Jika beban pada server Postgres tinggi, Anda juga dapat memilih untuk membuat node Postgres terpisah hanya untuk SSO Edge.

Dengan mengaktifkan SAML, akses ke UI Edge dan API pengelolaan Edge menggunakan token akses OAuth2. Token ini dibuat oleh modul SSO Edge yang menerima pernyataan SAML yang ditampilkan oleh IDP Anda.

Setelah dibuat dari pernyataan SAML, token OAuth akan berlaku selama 30 menit dan token refresh akan berlaku selama 24 jam. Lingkungan pengembangan Anda mungkin mendukung otomatisasi untuk tugas pengembangan umum, seperti otomatisasi pengujian atau Continuous Integration/Continuous Deployment (CI/CD), yang memerlukan token dengan durasi yang lebih lama. Lihat Menggunakan SAML dengan tugas otomatis untuk informasi tentang cara membuat token khusus untuk tugas otomatis.

URL UI dan API Edge

URL yang Anda gunakan untuk mengakses UI Edge dan Edge Management API sama dengan yang digunakan sebelum Anda mengaktifkan SAML. Untuk UI Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

dengan edge_ui_IP_DNS adalah alamat IP atau nama DNS perangkat yang menghosting UI Edge. Sebagai bagian dari mengonfigurasi UI Edge, Anda dapat menentukan bahwa koneksi menggunakan protokol HTTP atau HTTPS terenkripsi.

Untuk Edge management API:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1  

dengan ms_IP_DNS adalah alamat IP atau nama DNS Server Pengelolaan. Sebagai bagian dari konfigurasi API, Anda dapat menentukan agar koneksi menggunakan protokol HTTP atau HTTPS terenkripsi.

Mengonfigurasi TLS pada SSO Edge

Secara default, koneksi ke SSO Edge menggunakan HTTP melalui port 9099 pada node yang menghosting apigee-sso, yaitu modul SSO Edge. Dibangun ke dalam apigee-sso adalah instance Tomcat yang menangani permintaan HTTP dan HTTPS.

SSO Edge dan Tomcat mendukung tiga mode koneksi:

  • DEFAULT - Konfigurasi default mendukung permintaan HTTP pada port 9099.
  • SSL_TERMINATION - Akses TLS ke SSO Edge telah diaktifkan di port pilihan Anda. Anda harus menentukan kunci dan sertifikat TLS untuk mode ini.
  • SSL_PROXY - Mengonfigurasi SSO Edge dalam mode proxy, yang berarti Anda menginstal load balancer di depan apigee-sso dan menghentikan TLS di load balancer. Anda dapat menentukan port yang digunakan di apigee-sso untuk permintaan dari load balancer.

Aktifkan dukungan SAML untuk portal Layanan Developer dan untuk API BaaS

Setelah mengaktifkan dukungan SAML untuk Edge, Anda dapat mengaktifkan SAML untuk:

Sebagai bagian dari konfigurasi portal Layanan Developer dan BaaS API, Anda harus menentukan URL modul SSO Edge yang diinstal dengan Edge:

Karena Edge dan API BaaS memiliki modul SSO Edge yang sama, keduanya mendukung single sign-on. Artinya, login ke Edge atau API BaaS akan membuat Anda login ke keduanya. Artinya, Anda hanya perlu mempertahankan satu lokasi untuk semua kredensial pengguna.

Secara opsional, Anda juga dapat mengonfigurasi single sign-out. Lihat Mengonfigurasi logout tunggal dari UI Edge.