Edge for Private Cloud w wersji 4.18.01
Interfejs użytkownika Edge i interfejs Edge Management API działają przez wysyłanie żądań do serwera zarządzania brzegowymi, przy czym serwer zarządzania obsługuje te typy uwierzytelniania:
- Uwierzytelnianie podstawowe Zaloguj się w interfejsie użytkownika Edge lub wysyłaj żądania do interfejsu Edge Management API, przekazując swoją nazwę użytkownika i hasło.
- OAuth2 Wymień swoje dane uwierzytelniające podstawowego uwierzytelniania Edge na token dostępu OAuth2 i token odświeżania. Możesz wykonywać wywołania interfejsu Edge Management API, przekazując token dostępu OAuth2 w nagłówku okaziciela wywołania interfejsu API.
Edge obsługuje też mechanizm uwierzytelniania Security Assertion Markup Language (SAML) 2.0. Po włączeniu SAML dostęp do interfejsu użytkownika Edge i interfejsu Edge Management API nadal używa tokenów dostępu OAuth2. Teraz można jednak generować te tokeny na podstawie potwierdzeń SAML zwracanych przez dostawcę tożsamości SAML.
Uwaga: SAML jest obsługiwana tylko jako mechanizm uwierzytelniania. Nie jest obsługiwane w przypadku autoryzacji. Dlatego do utrzymywania informacji dotyczących autoryzacji wciąż używasz bazy danych Edge OpenLDAP. Więcej informacji znajdziesz w sekcji Przypisywanie ról.
SAML obsługuje środowisko logowania jednokrotnego. Używając SAML w przeglądarce Edge, możesz obsługiwać logowanie jednokrotne w interfejsie użytkownika Edge i interfejsie API, a także wszelkich innych udostępnianych przez Ciebie usługach, które również obsługują SAML.
Dodano obsługę OAuth2 do Edge dla Private Cloud
Jak już wspomnieliśmy, implementacja brzegowa SAML korzysta z tokenów dostępu OAuth2.Dlatego dodaliśmy obsługę protokołu OAuth2 do Edge dla chmury Private Cloud. Więcej informacji znajdziesz w artykule Wprowadzenie do protokołu OAuth 2.0.
Zalety SAML
Uwierzytelnianie SAML ma kilka zalet. Dzięki SAML możesz:
- Przejmij pełną kontrolę nad zarządzaniem użytkownikami. Gdy użytkownicy opuszczą organizację i zostaną wyrejestrowane centralnie, automatycznie utracą dostęp do Edge.
- Kontroluj sposób uwierzytelniania użytkowników, aby uzyskać dostęp do Edge. Możesz wybrać różne typy uwierzytelniania dla różnych organizacji Edge.
- Kontroluj zasady uwierzytelniania. Dostawca SAML może obsługiwać zasady uwierzytelniania bardziej zgodne ze standardami Twojej firmy.
- Możesz monitorować logowania, wylogowania, nieudane próby logowania i aktywności wysokiego ryzyka we wdrożeniu brzegowym.
Używanie SAML z Edge
Aby obsługiwać SAML w Edge, musisz zainstalować apigee-sso, moduł logowania jednokrotnego Edge. Poniższy obraz przedstawia instalację logowania jednokrotnego na serwerach brzegowych w Edge for Private Cloud:
Moduł logowania jednokrotnego na serwerach brzegowych możesz zainstalować w tym samym węźle, w którym znajduje się interfejs użytkownika Edge i serwer zarządzania, lub w jego własnym węźle. Sprawdź, czy logowanie jednokrotne na serwerach brzegowych ma dostęp do serwera zarządzania przez port 8080.
Port 9099 musi być otwarty w węźle logowania jednokrotnego na serwerach brzegowych, aby obsługiwać dostęp do logowania jednokrotnego na serwerach brzegowych z przeglądarki, z zewnętrznego dostawcy tożsamości SAML oraz z interfejsu zarządzania serwerem i interfejsem Edge. W ramach konfigurowania logowania jednokrotnego na serwerach brzegowych możesz określić, czy połączenie zewnętrzne używa protokołu HTTP lub szyfrowanego protokołu HTTPS.
Logowanie jednokrotne na serwerach brzegowych korzysta z bazy danych Postgres dostępnej przez port 5432 w węźle Postgres. Zwykle można użyć tego samego serwera Postgres, który został zainstalowany w Edge, jako samodzielnego serwera Postgres lub dwóch serwerów Postgres skonfigurowanych w trybie mastera/gotowości. Jeśli obciążenie serwera Postgres jest wysokie, możesz też utworzyć oddzielny węzeł Postgres tylko na potrzeby logowania jednokrotnego na serwerach brzegowych.
Gdy protokół SAML jest włączony, dostęp do interfejsu użytkownika Edge i interfejsu Edge Management API używa tokenów dostępu OAuth2. Te tokeny są generowane przez moduł Edge SSO, który akceptuje potwierdzenia SAML zwrócone przez dostawcę tożsamości.
Token OAuth wygenerowany na podstawie potwierdzenia SAML jest ważny przez 30 minut, a token odświeżania – przez 24 godziny. Twoje środowisko programistyczne może obsługiwać automatyzację w przypadku typowych zadań programistycznych, takich jak automatyzacja testów lub ciągła integracja/ciągłe wdrażanie (CI/CD), które wymagają tokenów o dłuższym czasie trwania. Informacje o tworzeniu tokenów specjalnych do zadań automatycznych znajdziesz w artykule Używanie SAML z zadaniami automatycznymi.
Adresy URL interfejsu Edge i API
Adres URL używany do uzyskiwania dostępu do interfejsu Edge i interfejsu Edge Management API jest taki sam jak przed włączeniem SAML. W interfejsie użytkownika Edge:
http://edge_ui_IP_DNS:9000 https://edge_ui_IP_DNS:9000
gdzie edge_ui_IP_DNS to adres IP lub nazwa DNS komputera hostującego interfejs Edge. W ramach konfigurowania interfejsu użytkownika Edge możesz określić, czy połączenie używa protokołu HTTP lub szyfrowanego protokołu HTTPS.
W przypadku interfejsu Edge Management API:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
gdzie ms_IP_DNS to adres IP lub nazwa DNS serwera zarządzania. Podczas konfigurowania interfejsu API możesz określić, czy połączenie używa protokołu HTTP, czy szyfrowanego protokołu HTTPS.
Konfigurowanie logowania jednokrotnego TLS w przeglądarce Edge
Domyślnie połączenie z Edge SSO używa portu HTTP przez port 9099 w węźle hostującym apigee-sso, moduł Edge SSO. Wbudowana w apigee-sso instancja Tomcat obsługuje żądania HTTP i HTTPS.
Logowanie jednokrotne na serwerach brzegowych i Tomcat obsługują 3 tryby połączenia:
- DEFAULT – domyślna konfiguracja obsługuje żądania HTTP na porcie 9099.
- SSL_TERMINATION – na wybranym porcie włączono dostęp TLS do logowania jednokrotnego na serwerach brzegowych. W tym trybie musisz określić klucz TLS i certyfikat.
- SSL_PROXY – konfiguruje logowanie jednokrotne na serwerach brzegowych w trybie serwera proxy, co oznacza, że został zainstalowany system równoważenia obciążenia przed apigee-sso i zakończony TLS w systemie równoważenia obciążenia. Możesz podać port używany w apigee-sso na potrzeby żądań z systemu równoważenia obciążenia.
Włącz obsługę SAML w portalu usług dla programistów i dla interfejsu API BaaS
Po włączeniu obsługi SAML w Edge możesz opcjonalnie włączyć SAML dla:
- API BaaS – zarówno BaaS Portal, jak i stos BaaS obsługują SAML do uwierzytelniania użytkowników. Więcej informacji znajdziesz w artykule o włączaniu SAML dla API BaaS.
- Portal usług dla programistów – portal obsługuje uwierzytelnianie SAML podczas wysyłania żądań do Edge. Różni się to od uwierzytelniania SAML w przypadku logowania dewelopera w portalu. Uwierzytelnianie SAML na potrzeby logowania programisty musisz skonfigurować osobno. Więcej informacji znajdziesz w artykule o konfigurowaniu portalu usług dla programistów do komunikowania się z Edge przy użyciu SAML.
Podczas konfigurowania portalu usług dla programistów i interfejsu API BaaS musisz podać adres URL modułu Edge SSO zainstalowanego w Edge:
Edge i API BaaS mają ten sam moduł logowania jednokrotnego na serwerach brzegowych, więc obsługują logowanie jednokrotne. Oznacza to, że zalogowanie się w Edge lub API BaaS spowoduje zalogowanie się w obu tych usługach. Oznacza to również, że musisz utrzymywać tylko jedną lokalizację na wszystkie dane logowania użytkownika.
Opcjonalnie możesz też skonfigurować logowanie jednokrotne. Zapoznaj się z artykułem Konfigurowanie logowania jednokrotnego w interfejsie Edge.