Edge for Private Cloud v4.18.05
Die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API stellen Anfragen an den Edge-Verwaltungsserver, wobei der Verwaltungsserver die folgenden Authentifizierungstypen unterstützt:
- Basic Auth Melden Sie sich bei der Edge-Benutzeroberfläche an oder stellen Sie Anfragen an die Edge Management API, indem Sie Ihren Nutzernamen und Ihr Passwort weitergeben.
- OAuth2 Tauschen Sie Ihre Edge Basic Auth-Anmeldedaten gegen ein OAuth2-Zugriffstoken und ein Aktualisierungstoken aus. Rufen Sie die Edge-Verwaltungs-API auf, indem Sie das OAuth2-Zugriffstoken im Bearer-Header eines API-Aufrufs übergeben.
Edge unterstützt auch die Security Assertion Markup Language (SAML) 2.0 als Authentifizierungsmechanismus. Wenn SAML aktiviert ist, werden für den Zugriff auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API weiterhin OAuth2-Zugriffstokens verwendet. Sie können diese Tokens jedoch aus SAML-Assertions generieren, die von einem SAML-Identitätsanbieter zurückgegeben wurden.
SAML unterstützt eine Umgebung für die Einmalanmeldung (SSO). Wenn Sie SAML mit Edge verwenden, können Sie die SSO für die Edge-Benutzeroberfläche und -API zusätzlich zu allen anderen Diensten unterstützen, die Sie bereitstellen und die auch SAML unterstützen.
Unterstützung für OAuth2 in Edge for Private Cloud hinzugefügt
Wie oben erwähnt, beruht die Edge-Implementierung von SAML auf OAuth2-Zugriffstokens.Aus diesem Grund wurde in Edge für Private Cloud OAuth2-Unterstützung hinzugefügt. Weitere Informationen finden Sie unter Einführung in OAuth 2.0.
Vorteile von SAML
Die SAML-Authentifizierung bietet mehrere Vorteile. Mit SAML können Sie Folgendes tun:
- Sie haben die volle Kontrolle über die Nutzerverwaltung. Wenn Nutzer Ihre Organisation verlassen und die Bereitstellung zentral aufgehoben wird, wird ihnen der Zugriff auf Edge automatisch verweigert.
- Steuern Sie, wie sich Nutzer für den Zugriff auf Edge authentifizieren. Sie können verschiedene Authentifizierungstypen für verschiedene Edge-Organisationen auswählen.
- Authentifizierungsrichtlinien steuern Möglicherweise unterstützt Ihr SAML-Anbieter Authentifizierungsrichtlinien, die eher Ihren Unternehmensstandards entsprechen.
- Sie können Anmeldungen, Logouts, fehlgeschlagene Anmeldeversuche und risikoreiche Aktivitäten in Ihrem Edge-Deployment überwachen.
SAML mit Edge verwenden
Zur Unterstützung von SAML in Edge installieren Sie apigee-sso, das Edge-SSO-Modul. Die folgende Abbildung zeigt Edge-SSO in einer Edge für die Private Cloud-Installation:
Sie können das Edge-SSO-Modul auf demselben Knoten wie die Edge-Benutzeroberfläche und den Verwaltungsserver oder auf einem eigenen Knoten installieren. Achten Sie darauf, dass Edge-SSO über Port 8080 Zugriff auf den Verwaltungsserver hat.
Port 9099 muss auf dem Edge-SSO-Knoten offen sein, um den Zugriff auf Edge-SSO von einem Browser, vom externen SAML-IdP sowie vom Verwaltungsserver und der Edge-Benutzeroberfläche zu unterstützen. Im Rahmen der Konfiguration von Edge-SSO können Sie angeben, dass die externe Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet.
Edge-SSO verwendet eine Postgres-Datenbank, auf die über Port 5432 auf dem Postgres-Knoten zugegriffen werden kann. In der Regel können Sie denselben Postgres-Server verwenden, den Sie mit Edge installiert haben, entweder einen eigenständigen Postgres-Server oder zwei Postgres-Server, die im Master-/Standby-Modus konfiguriert sind. Wenn die Auslastung Ihres Postgres-Servers hoch ist, können Sie auch einen separaten Postgres-Knoten nur für Edge-SSO erstellen.
Wenn SAML aktiviert ist, werden für den Zugriff auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API OAuth2-Zugriffstokens verwendet. Diese Tokens werden vom Edge-SSO-Modul generiert, das vom IdP zurückgegebene SAML-Assertions akzeptiert.
Nach der Generierung aus einer SAML-Assertion ist das OAuth-Token 30 Minuten lang und das Aktualisierungstoken 24 Stunden gültig. Ihre Entwicklungsumgebung unterstützt möglicherweise Automatisierung für gängige Entwicklungsaufgaben wie Testautomatisierung oder Continuous Integration/Continuous Deployment (CI/CD), für die Tokens mit einer längeren Dauer erforderlich sind. Informationen zum Erstellen spezieller Tokens für automatisierte Aufgaben finden Sie unter SAML mit automatisierten Aufgaben verwenden.
Edge-Benutzeroberfläche und API-URLs
Die URL, mit der Sie auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API zugreifen, ist die gleiche wie vor der Aktivierung von SAML. Für die Edge-Benutzeroberfläche:
http://edge_ui_IP_DNS:9000 https://edge_ui_IP_DNS:9000
Dabei ist edge_ui_IP_DNS die IP-Adresse oder der DNS-Name der Maschine, auf der die Edge-UI gehostet wird. Im Rahmen der Konfiguration der Edge-Benutzeroberfläche können Sie angeben, dass die Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet.
Für die Edge-Verwaltungs-API:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Dabei ist ms_IP_DNS die IP-Adresse oder der DNS-Name des Verwaltungsservers. Beim Konfigurieren der API können Sie angeben, dass für die Verbindung das HTTP-Protokoll oder das verschlüsselte HTTPS-Protokoll verwendet werden soll.
Konfigurieren Sie TLS on Edge SSO
Standardmäßig verwendet die Verbindung zu Edge-SSO HTTP über Port 9099 auf dem Knoten, auf dem apigee-sso, das Edge-SSO-Modul, gehostet wird. In apigee-sso ist eine Tomcat-Instanz enthalten, die die HTTP- und HTTPS-Anfragen verarbeitet.
Edge-SSO und Tomcat unterstützen drei Verbindungsmodi:
- DEFAULT: Die Standardkonfiguration unterstützt HTTP-Anfragen an Port 9099.
- SSL_TERMINATION: Der TLS-Zugriff auf Edge-SSO wurde am Port Ihrer Wahl aktiviert. Für diesen Modus müssen Sie einen TLS-Schlüssel und ein Zertifikat angeben.
- SSL_PROXY: Konfiguriert Edge-SSO im Proxymodus, d. h., Sie haben vor
apigee-ssoeinen Load-Balancer installiert und TLS auf dem Load-Balancer beendet. Sie können den Port angeben, der aufapigee-ssofür Anfragen vom Load-Balancer verwendet wird.
SAML-Unterstützung für das Portal aktivieren
Nachdem Sie die SAML-Unterstützung für Edge aktiviert haben, können Sie optional SAML für das Apigee Developer Services-Portal (oder einfach das Portal) aktivieren. Das Portal unterstützt die SAML-Authentifizierung, wenn Anfragen an Edge gesendet werden. Dies unterscheidet sich von der SAML-Authentifizierung für die Entwickleranmeldung im Portal. Die SAML-Authentifizierung für die Entwickleranmeldung wird separat konfiguriert. Weitere Informationen finden Sie unter Portal für die Verwendung von SAML für die Kommunikation mit Edge konfigurieren.
Bei der Konfiguration des Portals müssen Sie die URL des Edge-SSO-Moduls angeben, das Sie mit Edge installiert haben:
