Hỗ trợ SAML trên Edge dành cho đám mây riêng

Edge cho đám mây riêng tư phiên bản 4.18.01

Giao diện người dùng Edge và API quản lý Edge hoạt động bằng cách gửi yêu cầu tới Máy chủ quản lý cạnh, trong đó Máy chủ quản lý hỗ trợ các loại xác thực sau:

  • Xác thực cơ bản Đăng nhập vào giao diện người dùng Edge hoặc gửi yêu cầu tới API quản lý Edge bằng cách truyền tên người dùng và mật khẩu của bạn.
  • OAuth2 Trao đổi thông tin xác thực cơ bản của Edge để lấy mã truy cập OAuth2 và mã làm mới. Thực hiện lệnh gọi đến API Quản lý Edge bằng cách truyền mã truy cập OAuth2 vào tiêu đề Mang ( Bearer) của lệnh gọi API.

Edge cũng hỗ trợ Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) 2.0 dưới dạng cơ chế xác thực. Khi bật SAML, quyền truy cập vào giao diện người dùng Edge và API quản lý Edge vẫn sử dụng mã truy cập OAuth2. Tuy nhiên, giờ đây, bạn có thể tạo các mã thông báo này từ các câu nhận định SAML do nhà cung cấp danh tính SAML trả về.

Lưu ý: SAML chỉ được hỗ trợ dưới dạng cơ chế xác thực. Hệ thống không hỗ trợ yêu cầu uỷ quyền. Do đó, bạn vẫn dùng cơ sở dữ liệu Edge Open LDAP để duy trì thông tin uỷ quyền. Vui lòng xem phần Chỉ định vai trò để biết thêm thông tin.

SAML hỗ trợ môi trường đăng nhập một lần (SSO). Khi sử dụng SAML với Edge, bạn có thể hỗ trợ tính năng SSO cho giao diện người dùng và API của Edge, ngoài những dịch vụ khác mà bạn cung cấp và cũng hỗ trợ SAML.

Đã thêm tính năng hỗ trợ OAuth2 lên Edge cho đám mây riêng tư

Như đã đề cập ở trên, việc triển khai Edge cho SAML dựa trên mã truy cập OAuth2.Do đó, tính năng hỗ trợ OAuth2 đã được thêm vào Edge cho Đám mây riêng tư. Để biết thêm thông tin, hãy xem phần Giới thiệu về OAuth 2.0.

Ưu điểm của SAML

Việc xác thực SAML mang lại một số lợi thế. Khi sử dụng SAML, bạn có thể:

  • Có toàn quyền kiểm soát việc quản lý người dùng. Khi người dùng rời khỏi tổ chức của bạn và bị huỷ cấp phép tập trung, họ sẽ tự động bị từ chối quyền truy cập vào Edge.
  • Kiểm soát cách người dùng xác thực để truy cập vào Edge. Bạn có thể chọn nhiều loại xác thực cho các tổ chức Edge.
  • Kiểm soát chính sách xác thực. Nhà cung cấp SAML của bạn có thể hỗ trợ những chính sách xác thực phù hợp hơn với các tiêu chuẩn dành cho doanh nghiệp.
  • Bạn có thể giám sát các lần đăng nhập, đăng xuất, đăng nhập không thành công và các hoạt động có rủi ro cao khi triển khai Edge.

Sử dụng SAML với Edge

Để hỗ trợ SAML trên Edge, bạn cần cài đặt apigee-sso, mô-đun SSO của Edge. Hình ảnh sau đây minh hoạ tính năng SSO của Edge trong một Edge để cài đặt đám mây riêng tư:

Bạn có thể cài đặt mô-đun SSO của Edge trên cùng một nút với Giao diện người dùng và Máy chủ quản lý Edge hoặc trên nút riêng của mô-đun đó. Đảm bảo rằng dịch vụ SSO của Edge có quyền truy cập vào Máy chủ quản lý qua cổng 8080.

Cổng 9099 phải được mở trên nút SSO của Edge để hỗ trợ quyền truy cập vào dịch vụ SSO của Edge qua một trình duyệt, từ IDP SAML bên ngoài cũng như từ Máy chủ quản lý và Giao diện người dùng Edge. Trong quá trình định cấu hình SSO ở Edge, bạn có thể chỉ định rằng kết nối bên ngoài sử dụng HTTP hoặc giao thức HTTPS đã mã hoá.

Tính năng SSO của Edge sử dụng cơ sở dữ liệu Postgres có thể truy cập được trên cổng 5432 trên nút Postgres. Thông thường, bạn có thể sử dụng cùng một máy chủ Postgres đã cài đặt bằng Edge, một máy chủ Postgres độc lập hoặc hai máy chủ Postgres được định cấu hình ở chế độ chính/chế độ chờ. Nếu tải trên máy chủ Postgres của bạn ở mức cao, bạn cũng có thể chọn tạo một nút Postgres riêng chỉ dành cho dịch vụ SSO của Edge.

Khi bật SAML, quyền truy cập vào giao diện người dùng Edge và API quản lý Edge sẽ sử dụng mã truy cập OAuth2. Các mã thông báo này do mô-đun SSO của Edge tạo ra. Mô-đun này chấp nhận các câu xác nhận SAML mà IDP của bạn trả về.

Sau khi được tạo từ câu nhận định SAML, mã thông báo OAuth sẽ có hiệu lực trong 30 phút và mã làm mới sẽ có hiệu lực trong 24 giờ. Môi trường phát triển của bạn có thể hỗ trợ tính năng tự động hoá cho các tác vụ phát triển phổ biến, chẳng hạn như quy trình tự động kiểm thử hoặc Tích hợp liên tục/Triển khai liên tục (CI/CD), yêu cầu mã thông báo có thời gian dài hơn. Hãy xem bài viết Sử dụng SAML với nhiệm vụ tự động để biết thông tin về cách tạo mã thông báo đặc biệt cho nhiệm vụ tự động.

URL API và giao diện người dùng Edge

URL bạn dùng để truy cập vào giao diện người dùng Edge và API quản lý Edge giống với URL đã dùng trước khi bạn bật SAML. Đối với giao diện người dùng Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

trong đó edge_ui_IP_DNS là địa chỉ IP hoặc tên DNS của máy lưu trữ giao diện người dùng Edge. Trong quá trình định cấu hình giao diện người dùng Edge, bạn có thể chỉ định rằng kết nối sử dụng HTTP hoặc giao thức HTTPS đã mã hoá.

Đối với Edge Management API (API Quản lý Edge):

http://ms_IP_DNS:8080/v1  
https://ms_IP_DNS:8080/v1  

trong đó ms_IP_DNS là địa chỉ IP hoặc tên DNS của Máy chủ quản lý. Trong quá trình định cấu hình API, bạn có thể chỉ định việc kết nối sử dụng HTTP hoặc giao thức HTTPS đã mã hoá.

Định cấu hình tính năng đăng nhập một lần (SSO) của TLS trên Edge

Theo mặc định, kết nối với dịch vụ SSO ở Edge sẽ sử dụng HTTP qua cổng 9099 trên nút lưu trữ apigee-sso, mô-đun SSO của Edge. Được tích hợp vào apigee-sso là một thực thể Tomcat xử lý các yêu cầu HTTP và HTTPS.

Dịch vụ SSO của Edge và Tomcat hỗ trợ 3 chế độ kết nối:

  • DEFAULT – Cấu hình mặc định hỗ trợ các yêu cầu HTTP trên cổng 9099.
  • SSL_TERMINATION – Đã bật quyền truy cập TLS vào dịch vụ SSO của Edge trên cổng mà bạn chọn. Bạn phải chỉ định khoá và chứng chỉ TLS cho chế độ này.
  • SSL_PROXY – Định cấu hình dịch vụ SSO ở Edge ở chế độ proxy, nghĩa là bạn đã cài đặt trình cân bằng tải trước apigee-sso và kết thúc TLS trên trình cân bằng tải. Bạn có thể chỉ định cổng dùng trên apigee-sso cho các yêu cầu từ trình cân bằng tải.

Bật tính năng hỗ trợ SAML cho cổng Dịch vụ dành cho nhà phát triển và cho API BaaS

Sau khi bật tính năng hỗ trợ SAML cho Edge, bạn có thể tuỳ ý bật tính năng SAML cho:

  • API BaaS – Cả BaaS Vault và BaaS Stack đều hỗ trợ SAML để xác thực người dùng. Hãy xem bài viết Bật SAML cho API BaaS để tìm hiểu thêm.
  • Cổng dịch vụ cho nhà phát triển – Cổng hỗ trợ việc xác thực SAML khi gửi yêu cầu cho Edge. Xin lưu ý rằng quy trình xác thực này khác với quy trình xác thực dựa trên SAML để nhà phát triển đăng nhập vào cổng thông tin. Bạn định cấu hình xác thực SAML cho hoạt động đăng nhập của nhà phát triển một cách riêng biệt. Xem phần Định cấu hình cổng Dịch vụ dành cho nhà phát triển để dùng SAML để giao tiếp với Edge để biết thêm thông tin.

Trong quá trình định cấu hình cổng Dịch vụ dành cho nhà phát triển và API BaaS, bạn phải chỉ định URL của mô-đun SSO của Edge mà bạn đã cài đặt bằng Edge:

Vì Edge và API BaaS dùng chung một mô-đun SSO của Edge nên đều hỗ trợ tính năng đăng nhập một lần. Tức là việc đăng nhập vào Edge hoặc API BaaS sẽ giúp bạn ghi lại cả hai. Điều đó cũng có nghĩa là bạn chỉ phải duy trì một vị trí cho tất cả thông tin đăng nhập của người dùng.

Bạn cũng có thể định cấu hình tính năng đăng xuất một lần (không bắt buộc). Xem bài viết Định cấu hình chế độ đăng xuất một lần từ giao diện người dùng Edge.