Compatibilité SAML sur Edge pour le cloud privé

Edge pour Private Cloud v4.18.05

L'interface utilisateur et l'API de gestion Edge fonctionnent en envoyant des demandes au serveur de gestion Edge, Le serveur de gestion prend en charge les types d'authentification suivants:

  • Authentification de base Connectez-vous à l'interface utilisateur Edge ou envoyez des requêtes à la gestion Edge en transmettant votre nom d'utilisateur et votre mot de passe.
  • OAuth2 Échangez vos identifiants d'authentification de base Edge pour un accès OAuth2 et le jeton d'actualisation. Appelez l'API de gestion Edge en transmettant l'accès OAuth2 dans l'en-tête de support d'un appel d'API.

Edge prend également en charge le langage SAML (Security Assertion Markup Language) 2.0 comme protocole d'authentification sur le mécanisme d'attention. Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise toujours OAuth2 des jetons d'accès. Toutefois, vous pouvez désormais générer ces jetons à partir d'assertions SAML renvoyées par un d'un fournisseur d'identité.

SAML prend en charge un environnement d'authentification unique (SSO). En utilisant SAML avec Edge, vous pouvez prendre en charge pour l'interface utilisateur et l'API Edge en plus des autres services que vous fournissez et qui prennent également en charge SAML.

Ajout de la prise en charge d'OAuth2 dans Edge pour Private Cloud

Comme indiqué ci-dessus, l'implémentation Edge de SAML repose sur les jetons d'accès OAuth2.Par conséquent, La prise en charge d'OAuth2 a été ajoutée à Edge pour Private Cloud. Pour en savoir plus, consultez Présentation d'OAuth 2.0

Avantages de SAML

L'authentification SAML offre plusieurs avantages. Avec SAML, vous pouvez effectuer les opérations suivantes :

  • Prenez le contrôle total de la gestion des utilisateurs. Lorsque des utilisateurs quittent votre organisation déprovisionné de manière centralisée, l'accès à Edge est automatiquement refusé.
  • Contrôlez la façon dont les utilisateurs s'authentifient pour accéder à Edge. Vous pouvez choisir différentes méthodes d'authentification pour les différentes organisations Edge.
  • Contrôler les règles d'authentification Votre fournisseur SAML est peut-être compatible avec les règles d'authentification davantage conformes aux normes de votre entreprise.
  • Vous pouvez surveiller les connexions, les déconnexions, les tentatives de connexion infructueuses et les activités à haut risque sur votre déploiement en périphérie.

Utilisation de SAML avec Edge

Pour prendre en charge SAML sur Edge, installez apigee-sso, le module d'authentification unique Edge. La l'image suivante montre Edge SSO dans une installation Edge pour Private Cloud:

Vous pouvez installer le module Edge SSO sur le même nœud que Edge UI and Management Server, ou sur son propre nœud. Assurez-vous que Edge SSO a accès au serveur de gestion sur le port 8080.

Le port 9099 doit être ouvert sur le nœud Edge SSO pour permettre l'accès à Edge SSO à partir d'un navigateur. depuis l'IdP SAML externe, et depuis le serveur de gestion et l'interface utilisateur Edge. Lors de la configuration Edge SSO, vous pouvez spécifier que la connexion externe utilise le protocole HTTP ou le protocole HTTPS standard.

Edge SSO utilise une base de données Postgres accessible sur le port 5432 sur le nœud Postgres. En général, vous vous pouvez utiliser le même serveur Postgres que celui installé avec Edge, soit un serveur Postgres ou deux serveurs Postgres configurés en mode maître/veille. Si la charge sur votre système Postgres est élevé, vous pouvez également choisir de créer un nœud Postgres distinct uniquement pour Edge SSO.

Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise des jetons d'accès OAuth2. Ces jetons sont générés par le module Edge SSO qui accepte les assertions SAML renvoyées par votre IdP.

Une fois généré à partir d'une assertion SAML, le jeton OAuth est valide pendant 30 minutes et l'actualisation est valide pendant 24 heures. Il est possible que votre environnement de développement soit compatible avec l'automatisation des tâches de développement telles que l'automatisation des tests ou l'intégration continue/le déploiement continu. (CI/CD), qui nécessitent des jetons de plus longue durée. Voir Utiliser SAML avec des tâches automatisées, pour plus d'informations sur en créant des jetons spéciaux pour les tâches automatisées.

URL de l'interface utilisateur et de l'API Edge

L'URL que vous utilisez pour accéder à l'interface utilisateur Edge et à l'API de gestion Edge est la même qu'avant vous avez activé SAML. Pour l'interface utilisateur Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

edge_ui_IP_DNS est l'adresse IP ou le nom DNS de la machine. hébergeant l'interface utilisateur Edge. Dans le cadre de la configuration de l'interface utilisateur Edge, vous pouvez spécifier que la connexion utilise HTTP ou HTTPS chiffré.

Pour l'API de gestion Edge:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

ms_IP_DNS est l'adresse IP ou le nom DNS Google Cloud. Lors de la configuration de l'API, vous pouvez spécifier que la connexion utilise le protocole HTTP ou protocole HTTPS chiffré.

Configurer TLS sur l'authentification unique Edge

Par défaut, la connexion à Edge SSO utilise HTTP sur le port 9099 sur le nœud hébergeant le nœud apigee-sso, le module Edge SSO. apigee-sso est intégré dans un Tomcat qui gère les requêtes HTTP et HTTPS.

Edge SSO et Tomcat prennent en charge trois modes de connexion:

  • PAR DÉFAUT : la configuration par défaut accepte les requêtes HTTP sur le port. 9099.
  • SSL_TERMINATION : l'accès TLS à Edge SSO a été activé sur le port de votre de votre choix. Vous devez spécifier une clé et un certificat TLS pour ce mode.
  • SSL_PROXY : configure Edge SSO en mode proxy, ce qui signifie que vous avez installé un équilibreur de charge devant apigee-sso et a arrêté TLS sur la charge de votre équilibreur de charge. Vous pouvez spécifier le port utilisé sur apigee-sso pour les requêtes provenant de la charge de votre équilibreur de charge.

Activer la compatibilité SAML pour le portail

Après avoir activé la prise en charge SAML pour Edge, vous pouvez éventuellement activer SAML pour le portail de services de développement Apigee (ou simplement, le portail). Le portail prend en charge l'authentification SAML lors de l'envoi de requêtes à Edge. Notez qu'il s'agit différente de l'authentification SAML pour la connexion des développeurs au portail. Vous configurez SAML l'authentification pour la connexion développeur séparément. Voir La configuration pour utiliser SAML pour communiquer avec Edge.

Lors de la configuration du portail, vous devez spécifier l'URL de la passerelle que vous avez installé avec Edge: