การสนับสนุน SAML บน Edge สําหรับ Private Cloud

Edge for Private Cloud v4.18.01

Edge UI และ Edge Management API จะทำงานด้วยการส่งคำขอไปยังเซิร์ฟเวอร์การจัดการ Edge โดยที่เซิร์ฟเวอร์การจัดการรองรับการตรวจสอบสิทธิ์ประเภทต่อไปนี้

  • การตรวจสอบสิทธิ์พื้นฐาน เข้าสู่ระบบ Edge UI หรือส่งคำขอไปยังการจัดการ Edge API โดยการส่งชื่อผู้ใช้และรหัสผ่านของคุณ
  • OAuth2 แลกเปลี่ยนข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์ Edge Basic สำหรับการเข้าถึง OAuth2 และโทเค็นการรีเฟรช เรียก Edge Management API โดยส่งผ่านการเข้าถึง OAuth2 ในส่วนหัว Bearer ของการเรียก API

Edge ยังรองรับการตรวจสอบสิทธิ์ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) 2.0 ด้วย Google Analytics เมื่อเปิดใช้ SAML แล้ว การเข้าถึง Edge UI และ Edge Management API จะยังคงใช้ OAuth2 โทเค็นเพื่อการเข้าถึง แต่ตอนนี้คุณสามารถสร้างโทเค็นเหล่านี้จากการยืนยัน SAML ที่ส่งคืนโดย SAML ผู้ให้บริการข้อมูลประจำตัว

หมายเหตุ: ระบบรองรับเฉพาะ SAML เป็นกลไกการตรวจสอบสิทธิ์เท่านั้น ไม่ใช่ สนับสนุนการให้สิทธิ์ คุณจึงยังคงใช้ฐานข้อมูล Edge OpenLDAP เพื่อบำรุงรักษาได้ ข้อมูลการให้สิทธิ์ ดูการมอบหมายบทบาทสำหรับ และอีกมากมาย

SAML รองรับระบบการลงชื่อเพียงครั้งเดียว (SSO) เมื่อใช้ SAML กับ Edge คุณจะรองรับ SSO ได้ สำหรับ Edge UI และ API นอกเหนือจากบริการ อื่นๆ ที่คุณจัดหาให้ และที่สนับสนุน SAML

เพิ่มการรองรับ OAuth2 ไปยัง Edge for Private แล้ว เมฆ

ดังที่กล่าวไว้ข้างต้น การใช้งาน Edge ของ SAML จะต้องอาศัยโทเค็นเพื่อการเข้าถึง OAuth2 เพิ่มการรองรับ OAuth2 ไปยัง Edge สำหรับ Private Cloud แล้ว โปรดดูข้อมูลเพิ่มเติมในข้อมูลเบื้องต้นเกี่ยวกับ OAuth 2.0

ข้อดีของ SAML

การตรวจสอบสิทธิ์ SAML มีข้อดีหลายอย่าง เมื่อใช้ SAML คุณจะทำสิ่งต่อไปนี้ได้

  • ควบคุมการจัดการผู้ใช้ได้อย่างเต็มที่ เมื่อผู้ใช้ออกจากองค์กรและ ถูกยกเลิกการจัดสรรจากส่วนกลาง บุคคลเหล่านี้จะถูกปฏิเสธไม่ให้เข้าถึง Edge โดยอัตโนมัติ
  • ควบคุมวิธีที่ผู้ใช้ตรวจสอบสิทธิ์ในการเข้าถึง Edge คุณเลือกการตรวจสอบสิทธิ์แบบอื่นได้ ประเภทสำหรับองค์กร Edge ต่างๆ
  • ควบคุมนโยบายการตรวจสอบสิทธิ์ ผู้ให้บริการ SAML อาจรองรับนโยบายการตรวจสอบสิทธิ์ ที่สอดคล้องกับมาตรฐานองค์กรของคุณมากขึ้น
  • คุณสามารถตรวจสอบการเข้าสู่ระบบ การออกจากระบบ ความพยายามเข้าสู่ระบบที่ไม่สำเร็จ และกิจกรรมที่มีความเสี่ยงสูงได้ใน การทำให้ Edge ใช้งานได้

การใช้ SAML กับ Edge

หากต้องการรองรับ SAML ใน Edge ให้ติดตั้ง apigee-sso ซึ่งเป็นโมดูล SSO ของ Edge อิมเมจต่อไปนี้แสดง Edge SSO ใน Edge สำหรับการติดตั้ง Private Cloud

คุณจะติดตั้งโมดูล Edge SSO ในโหนดเดียวกันกับ Edge UI และเซิร์ฟเวอร์การจัดการ หรือ ในโหนดของตัวเอง ตรวจสอบว่า Edge SSO มีสิทธิ์เข้าถึงเซิร์ฟเวอร์การจัดการผ่านพอร์ต 8080

ต้องเปิดพอร์ต 9099 บนโหนด Edge SSO เพื่อให้รองรับการเข้าถึง Edge SSO จากเบราว์เซอร์ จาก SAML IDP ภายนอก และจากเซิร์ฟเวอร์การจัดการและ Edge UI ขั้นตอนการกำหนดค่า Edge SSO คุณจะระบุได้ว่าการเชื่อมต่อภายนอกใช้ HTTP หรือ HTTPS ที่เข้ารหัส

Edge SSO ใช้ฐานข้อมูล Postgres ที่เข้าถึงได้บนพอร์ต 5432 บนโหนด Postgres ปกติแล้วคุณ ใช้เซิร์ฟเวอร์ Postgres เดียวกับที่คุณติดตั้งกับ Edge ได้ ไม่ว่าจะเป็น Postgres แบบสแตนด์อโลน หรือเซิร์ฟเวอร์ Postgres สองเครื่องที่กำหนดค่าในโหมดหลัก/สแตนด์บาย ถ้าการโหลดใน Postgres เซิร์ฟเวอร์อยู่ในระดับสูง คุณยังเลือกสร้างโหนด Postgres แยกต่างหากสำหรับ EDGE SSO โดยเฉพาะได้

เมื่อเปิดใช้ SAML แล้ว การเข้าถึง Edge UI และ Edge Management API จะใช้โทเค็นเพื่อการเข้าถึง OAuth2 โทเค็นเหล่านี้สร้างขึ้นโดยโมดูล Edge SSO ซึ่งจะยอมรับการยืนยัน SAML ที่แสดงผลโดย IDP ของคุณ

เมื่อสร้างจากการยืนยัน SAML แล้ว โทเค็น OAuth จะใช้ได้เป็นเวลา 30 นาทีและการรีเฟรช โทเค็นมีอายุ 24 ชั่วโมง สภาพแวดล้อมในการพัฒนาซอฟต์แวร์ของคุณอาจรองรับการทำงานอัตโนมัติสำหรับการ งานการพัฒนา เช่น การทดสอบระบบอัตโนมัติหรือการผสานรวมแบบต่อเนื่อง/การทำให้ใช้งานได้อย่างต่อเนื่อง (CI/CD) ซึ่งต้องใช้โทเค็นซึ่งมีระยะเวลานานกว่า ดูข้อมูลเกี่ยวกับการสร้างได้ที่การใช้ SAML กับงานอัตโนมัติ โทเค็นพิเศษสำหรับงานอัตโนมัติ

Edge UI และ URL ของ API

URL ที่คุณใช้เข้าถึง Edge UI และ Edge Management API เป็น URL เดียวกันกับที่ใช้ก่อนหน้านี้ เปิดใช้ SAML แล้ว สำหรับ Edge UI

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

โดยที่ edge_ui_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของเครื่อง การโฮสต์ Edge UI ในการกำหนดค่า Edge UI คุณระบุให้การเชื่อมต่อใช้ HTTP หรือโปรโตคอล HTTPS ที่เข้ารหัส

สำหรับ Edge Management API

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1  

โดยที่ ms_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของการจัดการ เซิร์ฟเวอร์ ในการกำหนดค่า API คุณสามารถระบุว่าการเชื่อมต่อใช้ HTTP หรือ โปรโตคอล HTTPS ที่เข้ารหัส

กำหนดค่า TLS ใน EDGE SSO

โดยค่าเริ่มต้น การเชื่อมต่อกับ Edge SSO จะใช้ HTTP ผ่านพอร์ต 9099 ในการโฮสต์โหนด apigee-sso ซึ่งเป็นโมดูล Edge SSO ที่มีอยู่แล้วใน apigee-sso คือ Tomcat ที่จัดการคำขอ HTTP และ HTTPS

Edge SSO และ Tomcat รองรับโหมดการเชื่อมต่อ 3 โหมด ดังนี้

  • ค่าเริ่มต้น - การกำหนดค่าเริ่มต้นรองรับคำขอ HTTP บนพอร์ต 9099
  • SSL_TERMINATION - เปิดใช้การเข้าถึง TLS ของ Edge SSO บนพอร์ตของ ตัวเลือก คุณต้องระบุคีย์ TLS และใบรับรองสำหรับโหมดนี้
  • SSL_PROXY - กำหนดค่า Edge SSO ในโหมดพร็อกซี ซึ่งหมายความว่าคุณได้ติดตั้ง ตัวจัดสรรภาระงานที่อยู่ด้านหน้า apigee-sso และสิ้นสุด TLS ในการโหลด บาลานเซอร์ คุณระบุพอร์ตที่ใช้ใน apigee-sso สำหรับคำขอจากการโหลดได้ บาลานเซอร์

เปิดใช้การรองรับ SAML สำหรับ พอร์ทัลบริการสำหรับนักพัฒนาแอปและ API BaaS

หลังจากเปิดใช้การสนับสนุน SAML สำหรับ Edge แล้ว คุณจะเลือกเปิดใช้ SAML สำหรับรายการต่อไปนี้ได้

ในฐานะที่เป็นส่วนหนึ่งของการกำหนดค่าพอร์ทัลบริการสำหรับนักพัฒนาซอฟต์แวร์และ API BaaS คุณต้องระบุ URL ของ โมดูล SSO ของ Edge ที่คุณติดตั้งด้วย Edge

เนื่องจาก Edge และ API BaaS แชร์โมดูล EDGE SSO เดียวกัน จึงรองรับการลงชื่อเพียงครั้งเดียว นั่น การลงชื่อเข้าสู่ระบบ Edge หรือ API BaaS จะช่วยให้คุณเข้าสู่ระบบทั้ง 2 อย่างนี้ และยังหมายความว่าคุณจะต้อง เก็บข้อมูลเข้าสู่ระบบของผู้ใช้ไว้ที่ตำแหน่งเดียว

หรือจะเลือกกำหนดค่าการออกจากระบบเพียงครั้งเดียวก็ได้ โปรดดูหัวข้อกำหนดค่าการลงชื่อเพียงครั้งเดียวจาก Edge UI