Private Cloud için Edge'de SAML'yi destekleme

Edge for Private Cloud 4.18.01 sürümü

Edge UI ve Edge Management API'si, Yönetim Sunucusu'nun aşağıdaki kimlik doğrulama türlerini desteklediği Uç Yönetim Sunucusu'na istekte bulunarak çalışır:

  • Temel Kimlik Doğrulama Edge kullanıcı arayüzüne giriş yapın veya kullanıcı adınızı ve şifrenizi ileterek Edge Management API'ye istekte bulunun.
  • OAuth2 Edge Temel Kimlik Doğrulama kimlik bilgilerinizi OAuth2 erişim jetonu ve yenileme jetonu için değiştirin. Bir API çağrısının Taşıyıcı üstbilgisindeki OAuth2 erişim jetonunu ileterek Edge Management API'ye çağrı yapma.

Edge, kimlik doğrulama sistemi olarak Güvenlik Onayı Biçimlendirme Dili (SAML) 2.0 da destekler. SAML etkinken, Edge kullanıcı arayüzüne ve Edge Management API'ye erişimde OAuth2 erişim jetonları kullanılmaya devam eder. Ancak artık bu jetonları bir SAML kimlik sağlayıcı tarafından döndürülen SAML onaylarından oluşturabilirsiniz.

Not: SAML yalnızca kimlik doğrulama sistemi olarak desteklenir. Yetkilendirme için desteklenmez. Bu nedenle, yetkilendirme bilgilerini korumak için Edge OpenLDAP veritabanını kullanmaya devam edersiniz. Daha fazla bilgi için Rol atama bölümüne bakın.

SAML, tek oturum açma (TOA) ortamını destekler. Edge ile SAML'yi kullanarak, sağladığınız ve SAML'yi destekleyen diğer hizmetlere ek olarak Edge kullanıcı arayüzü ve API için TOA'yı destekleyebilirsiniz.

Private Cloud için Edge'e OAuth2 desteği eklendi

Yukarıda belirtildiği gibi, SAML'nin Edge uygulamasında OAuth2 erişim jetonları temel alınır.Bu nedenle, Private Cloud için Edge'e OAuth2 desteği eklenmiştir. Daha fazla bilgi için OAuth 2.0'a giriş başlıklı makaleye göz atın.

SAML avantajları

SAML kimlik doğrulaması çeşitli avantajlar sunar. SAML kullanarak şunları yapabilirsiniz:

  • Kullanıcı yönetimi üzerinde tam kontrol sahibi olun. Kuruluşunuzdan ayrılan ve merkezi olarak temel hazırlığı kaldırılan kullanıcıların Edge'e erişimi otomatik olarak engellenir.
  • Kullanıcıların Edge'e erişmek için nasıl kimlik doğrulaması yaptığını denetleyin. Farklı Edge kuruluşları için farklı kimlik doğrulama türleri seçebilirsiniz.
  • Kimlik doğrulama politikalarını denetleyin. SAML sağlayıcınız, kurumsal standartlarınıza daha uygun olan kimlik doğrulama politikalarını destekleyebilir.
  • Edge dağıtımınızdaki giriş ve çıkış işlemlerini, başarısız giriş denemelerini ve yüksek riskli etkinlikleri izleyebilirsiniz.

Edge ile SAML kullanma

Edge'de SAML'yi desteklemek için Edge TOA modülü olan apigee-sso'yu yükleyin. Aşağıdaki resimde, Private Cloud kurulumunda Edge TOA gösterilmektedir:

Edge TOA modülünü Edge Kullanıcı Arayüzü ve Yönetim Sunucusu ile aynı düğüme veya kendi düğümüne yükleyebilirsiniz. Edge TOA'nın, Yönetim Sunucusu'na 8080 bağlantı noktası üzerinden erişimi olduğundan emin olun.

Tarayıcıdan, harici SAML IDP'den ve Yönetim Sunucusu ile Uç Kullanıcı Arayüzünden Edge TOA'ya erişimi desteklemek için Edge TOA düğümünde 9099 bağlantı noktasının açık olması gerekir. Edge TOA'yı yapılandırmanın bir parçası olarak, harici bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanacağını belirtebilirsiniz.

Edge TOA, Postgres düğümündeki 5432 numaralı bağlantı noktasında erişilebilen bir Postgres veritabanı kullanır. Tipik olarak Edge ile yüklediğiniz aynı Postgres sunucusunu, ya bağımsız bir Postgres sunucusu ya da ana/bekleme modunda yapılandırılmış iki Postgres sunucusu kullanabilirsiniz. Postgres sunucunuzdaki yük yüksekse yalnızca Edge TOA için ayrı bir Postgres düğümü oluşturmayı da seçebilirsiniz.

SAML etkinken, Edge kullanıcı arayüzüne ve Edge yönetim API'sine erişim için OAuth2 erişim jetonları kullanılır. Bu jetonlar, IDP'niz tarafından döndürülen SAML onaylarını kabul eden Edge TOA modülü tarafından oluşturulur.

Bir SAML onayından oluşturulduktan sonra OAuth jetonu 30 dakika, yenileme jetonu ise 24 saat boyunca geçerlidir. Geliştirme ortamınız, test otomasyonu veya Sürekli Entegrasyon/Sürekli Dağıtım (CI/CD) gibi daha uzun süreli jetonlar gerektiren yaygın geliştirme görevlerinin otomasyonunu destekleyebilir. Otomatik görevlerle ilgili özel jetonlar oluşturma hakkında bilgi edinmek için SAML'yi otomatik görevlerle kullanma bölümüne bakın.

Edge kullanıcı arayüzü ve API URL'leri

Edge UI ve Edge Management API'ye erişmek için kullandığınız URL, SAML'yi etkinleştirmeden önce kullanılan URL ile aynıdır. Edge kullanıcı arayüzü için:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

Burada edge_ui_IP_DNS, Edge kullanıcı arayüzünü barındıran makinenin IP adresi veya DNS adıdır. Edge kullanıcı arayüzünü yapılandırmanın bir parçası olarak, bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanmasını belirtebilirsiniz.

Edge Management API için:

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1  

burada ms_IP_DNS, Yönetim Sunucusu'nun IP adresi veya DNS adıdır. API'yi yapılandırmanın bir parçası olarak, bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanmasını belirtebilirsiniz.

Edge TOA'da TLS'yi yapılandırma

Varsayılan olarak Edge TOA bağlantısı, Edge TOA modülü olan apigee-sso adlı düğümde 9099 numaralı bağlantı noktası üzerinden HTTP kullanır. apigee-sso'da yerleşik olarak bulunan Tomcat örneği, HTTP ve HTTPS isteklerini işleyen bir Tomcat örneğidir.

Edge TOA ve Tomcat, üç bağlantı modunu destekler:

  • VARSAYILAN: Varsayılan yapılandırma, 9099 bağlantı noktasında HTTP isteklerini destekler.
  • SSL_TERMINATION - Seçtiğiniz bağlantı noktasında Edge TOA'ya TLS erişimi etkinleştirildi. Bu mod için bir TLS anahtarı ve sertifikası belirtmelisiniz.
  • SSL_PROXY - Proxy modunda Edge TOA'yı yapılandırır. Bu, apigee-sso'nun önüne bir yük dengeleyici yüklediğiniz ve yük dengeleyicide TLS'yi sonlandırdığınız anlamına gelir. Yük dengeleyiciden gelen istekler için apigee-sso'da kullanılan bağlantı noktasını belirtebilirsiniz.

Geliştirici Hizmetleri portalı ve API BaaS için SAML desteğini etkinleştir

Edge için SAML desteğini etkinleştirdikten sonra isteğe bağlı olarak SAML'yi aşağıdakiler için etkinleştirebilirsiniz:

Geliştirici Hizmetleri portalı ve API BaaS yapılandırmasının bir parçası olarak, Edge ile yüklediğiniz Edge TOA modülünün URL'sini belirtmeniz gerekir:

Edge ve API BaaS aynı Edge TOA modülünü paylaştığı için tek oturum açmayı destekler. Diğer bir deyişle, Edge veya API BaaS'a giriş yaptığınızda her ikisine de giriş yapabilirsiniz. Bu aynı zamanda tüm kullanıcı kimlik bilgileri için tek bir konum sağlamanız gerektiği anlamına da gelir.

İsterseniz tek oturum kapatma özelliğini de yapılandırabilirsiniz. Edge kullanıcı arayüzünden tek oturum kapatmayı yapılandırma başlıklı makaleye bakın.