การสนับสนุน SAML บน Edge สําหรับ Private Cloud

Edge สำหรับ Private Cloud เวอร์ชัน 4.18.01

Edge UI และ Edge Management API ทำงานโดยส่งคำขอไปยังเซิร์ฟเวอร์การจัดการ Edge ซึ่งเซิร์ฟเวอร์การจัดการรองรับการตรวจสอบสิทธิ์ประเภทต่อไปนี้

  • การตรวจสอบสิทธิ์พื้นฐาน ลงชื่อเข้าสู่ระบบ Edge UI หรือส่งคำขอไปยัง Edge Management API โดยการส่งชื่อผู้ใช้และรหัสผ่านของคุณ
  • OAuth2 แลกเปลี่ยนข้อมูลเข้าสู่ระบบ Edge Basic ของคุณเป็นโทเค็นเพื่อการเข้าถึง OAuth2 และโทเค็นการรีเฟรช เรียกใช้ Edge Management API โดยการส่งโทเค็นเพื่อการเข้าถึง OAuth2 ในส่วนหัวสำหรับผู้ถือของการเรียก API

Edge ยังรองรับภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) 2.0 เป็นกลไกการตรวจสอบสิทธิ์ด้วย เมื่อเปิดใช้ SAML แล้ว การเข้าถึง Edge UI และ Edge Management API จะยังคงใช้โทเค็นเพื่อการเข้าถึง OAuth2 อยู่ แต่ตอนนี้คุณสร้างโทเค็นเหล่านี้จากการยืนยันสิทธิ์ SAML ที่ผู้ให้บริการข้อมูลประจำตัว SAML ส่งคืนได้แล้ว

หมายเหตุ: SAML ได้รับการสนับสนุนในฐานะกลไกการตรวจสอบสิทธิ์เท่านั้น เนื่องจากระบบไม่รองรับการให้สิทธิ์ ดังนั้น คุณยังคงใช้ฐานข้อมูล Edge OpenLDAP เพื่อรักษาข้อมูลการให้สิทธิ์ไว้ ดูข้อมูลเพิ่มเติมได้ในการมอบหมายบทบาท

SAML รองรับสภาพแวดล้อมการลงชื่อเพียงครั้งเดียว (SSO) การใช้ SAML กับ Edge ช่วยให้คุณรองรับ SSO สำหรับ Edge UI และ API นอกเหนือจากบริการอื่นๆ ที่มีและรองรับ SAML ด้วยเช่นกัน

เพิ่มการรองรับ OAuth2 ไปยัง Edge สำหรับ Private Cloud แล้ว

ดังที่กล่าวไว้ข้างต้น การใช้งาน SAML ของ Edge อาศัยโทเค็นเพื่อการเข้าถึง OAuth2 ด้วยจึงมีการเพิ่มการรองรับ OAuth2 ไปยัง Edge สําหรับ Private Cloud โปรดดูข้อมูลเพิ่มเติมที่ข้อมูลเบื้องต้นเกี่ยวกับ OAuth 2.0

ข้อดีของ SAML

การตรวจสอบสิทธิ์ด้วย SAML มีข้อดีมากมาย เมื่อใช้ SAML คุณจะทำสิ่งต่อไปนี้ได้

  • ควบคุมการจัดการผู้ใช้ได้อย่างเต็มที่ เมื่อผู้ใช้ออกจากองค์กรและถูกยกเลิกการจัดสรรจากส่วนกลาง ผู้ใช้ดังกล่าวจะถูกปฏิเสธการเข้าถึง Edge โดยอัตโนมัติ
  • ควบคุมวิธีที่ผู้ใช้ตรวจสอบสิทธิ์เพื่อเข้าถึง Edge คุณเลือกการตรวจสอบสิทธิ์ประเภทต่างๆ สำหรับองค์กร Edge ต่างๆ ได้
  • ควบคุมนโยบายการตรวจสอบสิทธิ์ ผู้ให้บริการ SAML อาจรองรับนโยบายการตรวจสอบสิทธิ์ที่สอดคล้องกับมาตรฐานขององค์กรมากกว่า
  • คุณตรวจสอบการเข้าสู่ระบบ การออกจากระบบ การพยายามเข้าสู่ระบบที่ไม่สำเร็จ และกิจกรรมที่มีความเสี่ยงสูงบนการทำให้ Edge ใช้งานได้

การใช้ SAML กับ Edge

คุณต้องติดตั้ง apigee-sso ซึ่งเป็นโมดูล Edge SSO เพื่อรองรับ SAML บน Edge รูปภาพต่อไปนี้แสดง Edge SSO ใน Edge สำหรับการติดตั้ง Private Cloud

คุณจะติดตั้งโมดูล Edge SSO ในโหนดเดียวกันกับ Edge UI และเซิร์ฟเวอร์การจัดการ หรือในโหนดของตัวเองก็ได้ ตรวจสอบว่า Edge SSO มีสิทธิ์เข้าถึงเซิร์ฟเวอร์การจัดการผ่านพอร์ต 8080

ต้องเปิดพอร์ต 9099 บนโหนด Edge SSO เพื่อรองรับการเข้าถึง Edge SSO จากเบราว์เซอร์ จากผู้ให้บริการข้อมูลประจำตัว SAML ภายนอก และจาก Management Server และ Edge UI ในการกำหนดค่า Edge SSO คุณระบุได้ว่าการเชื่อมต่อภายนอกใช้โปรโตคอล HTTP หรือ HTTPS ที่เข้ารหัส

Edge SSO ใช้ฐานข้อมูล Postgres ที่เข้าถึงได้ทางพอร์ต 5432 ในโหนด Postgres โดยปกติแล้ว คุณจะใช้เซิร์ฟเวอร์ Postgres เดียวกันกับที่ติดตั้ง Edge ได้ โดยจะเป็นเซิร์ฟเวอร์ Postgres แบบสแตนด์อโลนหรือเซิร์ฟเวอร์ Postgres 2 เครื่องที่กำหนดค่าไว้ในโหมดหลัก/สแตนด์บายก็ได้ หากเซิร์ฟเวอร์ Postgres มีภาระงานสูง คุณจะเลือกสร้างโหนด Postgres แยกต่างหากสำหรับ Edge SSO โดยเฉพาะได้

เมื่อเปิดใช้ SAML การเข้าถึง Edge UI และ Edge Management API จะใช้โทเค็นเพื่อการเข้าถึง OAuth2 โทเค็นเหล่านี้สร้างขึ้นโดยโมดูล Edge SSO ซึ่งยอมรับการยืนยัน SAML ที่ IdP ของคุณส่งกลับมา

เมื่อสร้างจากการยืนยันสิทธิ์ SAML แล้ว โทเค็น OAuth จะใช้ได้เป็นเวลา 30 นาทีและโทเค็นการรีเฟรชจะใช้ได้ 24 ชั่วโมง สภาพแวดล้อมในการพัฒนาซอฟต์แวร์ของคุณอาจรองรับการทำงานอัตโนมัติสำหรับงานการพัฒนาทั่วไป เช่น การทดสอบอัตโนมัติหรือการผสานรวมอย่างต่อเนื่อง/การติดตั้งใช้งานอย่างต่อเนื่อง (CI/CD) ซึ่งต้องใช้โทเค็นที่มีระยะเวลานานกว่า ดูการใช้ SAML กับงานอัตโนมัติเพื่อให้ทราบข้อมูลเกี่ยวกับการสร้างโทเค็นพิเศษสำหรับงานอัตโนมัติ

Edge UI และ URL ของ API

URL ที่คุณใช้เข้าถึง Edge UI และ Edge Management API จะเหมือนกับ URL ที่ใช้ก่อนที่จะเปิดใช้ SAML สำหรับ Edge UI ให้ทำดังนี้

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

โดยที่ edge_ui_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของเครื่องที่โฮสต์ Edge UI ในการกำหนดค่า Edge UI คุณระบุได้ว่าให้การเชื่อมต่อใช้โปรโตคอล HTTP หรือ HTTPS ที่เข้ารหัส

สำหรับ Edge Management API:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1  

โดยที่ ms_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของเซิร์ฟเวอร์การจัดการ ในฐานะที่เป็นส่วนหนึ่งของการกำหนดค่า API คุณระบุได้ว่าการเชื่อมต่อนั้นใช้โปรโตคอล HTTP หรือ HTTPS ที่เข้ารหัส

กำหนดค่า TLS ใน Edge SSO

โดยค่าเริ่มต้น การเชื่อมต่อกับ Edge SSO จะใช้ HTTP ผ่านพอร์ต 9099 บนโหนดโฮสติ้ง apigee-sso ซึ่งเป็นโมดูล Edge SSO ของโหนด ซึ่งสร้างไว้ใน apigee-sso คืออินสแตนซ์ Tomcat ที่จัดการคำขอ HTTP และ HTTPS

Edge SSO และ Tomcat รองรับโหมดการเชื่อมต่อ 3 โหมด ดังนี้

  • ค่าเริ่มต้น - การกำหนดค่าเริ่มต้นรองรับคำขอ HTTP บนพอร์ต 9099
  • SSL_TERMINATION - เปิดใช้การเข้าถึง TLS สำหรับ Edge SSO บนพอร์ตที่ต้องการแล้ว คุณต้องระบุคีย์ TLS และใบรับรองสำหรับโหมดนี้
  • SSL_PROXY - กำหนดค่า Edge SSO ในโหมดพร็อกซี ซึ่งหมายความว่าคุณได้ติดตั้งตัวจัดสรรภาระงานไว้ด้านหน้า apigee-sso และยุติ TLS บนตัวจัดสรรภาระงาน คุณระบุพอร์ตที่ใช้ใน apigee-sso สำหรับคำขอจากตัวจัดสรรภาระงานได้

เปิดใช้การสนับสนุน SAML สำหรับพอร์ทัลบริการสำหรับนักพัฒนาซอฟต์แวร์และ API BaaS

หลังจากเปิดใช้การสนับสนุน SAML สำหรับ Edge แล้ว คุณจะเลือกเปิดใช้ SAML สำหรับสิ่งต่อไปนี้ได้

  • API BaaS - ทั้งพอร์ทัล BaaS และ BaaS Stack รองรับ SAML สำหรับการตรวจสอบสิทธิ์ผู้ใช้ ดูการเปิดใช้ SAML สำหรับ API BaaS สำหรับข้อมูลเพิ่มเติม
  • พอร์ทัลบริการสำหรับนักพัฒนาซอฟต์แวร์ - พอร์ทัลรองรับการตรวจสอบสิทธิ์ SAML เมื่อส่งคำขอไปยัง Edge โปรดทราบว่าวิธีนี้แตกต่างจากการตรวจสอบสิทธิ์ SAML สำหรับการเข้าสู่ระบบพอร์ทัลของนักพัฒนาซอฟต์แวร์ คุณต้องกำหนดค่าการตรวจสอบสิทธิ์ SAML สำหรับการเข้าสู่ระบบของนักพัฒนาซอฟต์แวร์แยกต่างหาก โปรดดูการกำหนดค่าพอร์ทัลบริการสำหรับนักพัฒนาแอปเพื่อใช้ SAML สื่อสารกับ Edge เพิ่มเติม

ในการกำหนดค่าพอร์ทัลบริการสำหรับนักพัฒนาแอปและ API BaaS คุณต้องระบุ URL ของโมดูล Edge SSO ที่ติดตั้งด้วย Edge ดังนี้

เนื่องจาก Edge และ API BaaS ใช้โมดูล Edge SSO เดียวกัน จึงรองรับการลงชื่อเพียงครั้งเดียว กล่าวคือ การเข้าสู่ระบบ Edge หรือ API BaaS จะนำคุณเข้าสู่ระบบทั้ง 2 รายการ ซึ่งหมายความว่าคุณจะต้องดูแลรักษาข้อมูลเข้าสู่ระบบของผู้ใช้ทั้งหมดเพียงตำแหน่งเดียวด้วย

และยังกำหนดค่าการลงชื่อเพียงครั้งเดียวได้อีกด้วย โปรดดูหัวข้อกำหนดค่าการลงชื่อเพียงครั้งเดียวจาก Edge UI