Edge for Private Cloud نسخه 4.18.05
Edge UI و Edge management API با ارسال درخواست به سرور Edge Management عمل میکنند، جایی که سرور مدیریت از انواع احراز هویت زیر پشتیبانی میکند:
- Basic Auth وارد رابط کاربری Edge شوید یا با ارسال نام کاربری و رمز عبور خود، به API مدیریت Edge درخواست دهید.
- OAuth2 اعتبارنامه Edge Basic Auth خود را با یک نشانه دسترسی OAuth2 مبادله کنید و توکن تازه سازی کنید. با ارسال نشانه دسترسی OAuth2 در هدر حامل یک تماس API، با Edge management API تماس بگیرید.
Edge همچنین از Security Assertion Markup Language (SAML) 2.0 به عنوان مکانیزم احراز هویت پشتیبانی می کند. با فعال بودن SAML، دسترسی به رابط کاربری Edge و API مدیریت Edge همچنان از نشانههای دسترسی OAuth2 استفاده میکند. با این حال، اکنون میتوانید این نشانهها را از اظهارات SAML که توسط یک ارائهدهنده هویت SAML بازگردانده شده است، تولید کنید.
SAML از یک محیط ورود واحد (SSO) پشتیبانی می کند. با استفاده از SAML با Edge، میتوانید از SSO برای رابط کاربری Edge و API علاوه بر هر سرویس دیگری که ارائه میدهید و همچنین SAML را پشتیبانی میکند، پشتیبانی کنید.
پشتیبانی برای OAuth2 به Edge برای Private Cloud اضافه شده است
همانطور که در بالا ذکر شد، پیادهسازی Edge SAML به توکنهای دسترسی OAuth2 متکی است. بنابراین، پشتیبانی OAuth2 به Edge برای Private Cloud اضافه شده است. برای اطلاعات بیشتر، به مقدمه OAuth 2.0 مراجعه کنید.
مزایای SAML
احراز هویت SAML چندین مزیت را ارائه می دهد. با استفاده از SAML می توانید:
- کنترل کامل مدیریت کاربر را در دست بگیرید. هنگامی که کاربران سازمان شما را ترک میکنند و بهطور مرکزی از دسترس خارج میشوند، بهطور خودکار از دسترسی به Edge محروم میشوند.
- نحوه احراز هویت کاربران برای دسترسی به Edge را کنترل کنید. شما می توانید انواع مختلف احراز هویت را برای سازمان های مختلف Edge انتخاب کنید.
- سیاست های احراز هویت را کنترل کنید. ارائهدهنده SAML شما ممکن است از خطمشیهای احراز هویتی پشتیبانی کند که با استانداردهای سازمانی شما مطابقت دارند.
- میتوانید ورود، خروج از سیستم، تلاشهای ناموفق برای ورود به سیستم و فعالیتهای پرخطر در استقرار Edge خود را نظارت کنید.
استفاده از SAML با Edge
برای پشتیبانی از SAML در Edge، apigee-sso
، ماژول Edge SSO را نصب میکنید. تصویر زیر Edge SSO را در نصب Edge برای Private Cloud نشان میدهد:
میتوانید ماژول Edge SSO را روی همان گرهای که رابط کاربری Edge و سرور مدیریتی دارد یا روی گره خودش نصب کنید. اطمینان حاصل کنید که Edge SSO از طریق پورت 8080 به مدیریت سرور دسترسی دارد.
پورت 9099 باید در گره Edge SSO باز باشد تا از دسترسی به Edge SSO از مرورگر، از SAML IDP خارجی و از مدیریت سرور و Edge UI پشتیبانی کند. به عنوان بخشی از پیکربندی Edge SSO، می توانید مشخص کنید که اتصال خارجی از HTTP یا پروتکل HTTPS رمزگذاری شده استفاده کند.
Edge SSO از پایگاه داده Postgres قابل دسترسی در پورت 5432 در گره Postgres استفاده می کند. معمولاً میتوانید از همان سرور Postgres که با Edge نصب کردهاید، استفاده کنید، یا از یک سرور Postgres مستقل یا دو سرور Postgres که در حالت اصلی/استاندبای پیکربندی شدهاند. اگر بار روی سرور Postgres شما زیاد است، میتوانید یک گره Postgres جداگانه فقط برای Edge SSO ایجاد کنید.
با فعال بودن SAML، دسترسی به رابط کاربری Edge و API مدیریت Edge از نشانههای دسترسی OAuth2 استفاده میکند. این توکن ها توسط ماژول Edge SSO تولید می شوند که اظهارات SAML بازگردانده شده توسط IDP شما را می پذیرد.
هنگامی که از یک ادعای SAML تولید شد، نشانه OAuth به مدت 30 دقیقه و رمز تجدید به مدت 24 ساعت معتبر است. محیط توسعه شما ممکن است از اتوماسیون برای کارهای توسعه رایج پشتیبانی کند، مانند اتوماسیون تست یا یکپارچه سازی مداوم/ استقرار مستمر (CI/CD)، که به نشانه هایی با مدت زمان طولانی تری نیاز دارند. برای اطلاعات در مورد ایجاد نشانه های ویژه برای کارهای خودکار ، استفاده از SAML با وظایف خودکار را ببینید.
Edge UI و URL های API
نشانی اینترنتی که برای دسترسی به رابط کاربری Edge و API مدیریت Edge استفاده میکنید همان است که قبل از فعال کردن SAML استفاده میشد. برای رابط کاربری Edge:
http://edge_ui_IP_DNS:9000 https://edge_ui_IP_DNS:9000
جایی که edge_ui_IP_DNS آدرس IP یا نام DNS دستگاهی است که رابط کاربری Edge را میزبانی می کند. به عنوان بخشی از پیکربندی رابط کاربری Edge، می توانید تعیین کنید که اتصال از HTTP یا پروتکل HTTPS رمزگذاری شده استفاده کند.
برای API مدیریت Edge:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
که در آن ms_IP_DNS آدرس IP یا نام DNS سرور مدیریت است. به عنوان بخشی از پیکربندی API، می توانید تعیین کنید که اتصال از HTTP یا پروتکل HTTPS رمزگذاری شده استفاده کند.
TLS را در Edge SSO پیکربندی کنید
به طور پیش فرض، اتصال به Edge SSO از HTTP روی پورت 9099 در گره میزبان apigee-sso
، ماژول Edge SSO استفاده می کند. ساخته شده در apigee-sso
یک نمونه Tomcat است که درخواست های HTTP و HTTPS را مدیریت می کند.
Edge SSO و Tomcat از سه حالت اتصال پشتیبانی می کنند:
- DEFAULT - پیکربندی پیش فرض از درخواست های HTTP در پورت 9099 پشتیبانی می کند.
- SSL_TERMINATION - دسترسی TLS به Edge SSO را در پورت انتخابی شما فعال کرد. برای این حالت باید یک کلید و گواهی TLS مشخص کنید.
- SSL_PROXY - Edge SSO را در حالت پراکسی پیکربندی میکند، به این معنی که شما یک load balancer را در مقابل
apigee-sso
نصب کردهاید و TLS را روی load balancer خاتمه دادهاید. میتوانید پورت مورد استفاده درapigee-sso
برای درخواستهای load balancer مشخص کنید.
پشتیبانی SAML را برای پورتال فعال کنید
پس از فعال کردن پشتیبانی SAML برای Edge، می توانید به صورت اختیاری SAML را برای پورتال خدمات توسعه دهنده Apigee (یا به سادگی، پورتال ) فعال کنید. این پورتال از احراز هویت SAML هنگام درخواست به Edge پشتیبانی می کند. توجه داشته باشید که این با احراز هویت SAML برای ورود برنامهنویس به پورتال متفاوت است. شما احراز هویت SAML را برای ورود به برنامهنویس جداگانه پیکربندی میکنید. برای اطلاعات بیشتر به پیکربندی پورتال برای استفاده از SAML برای برقراری ارتباط با Edge مراجعه کنید.
به عنوان بخشی از پیکربندی پورتال، باید URL ماژول Edge SSO را که با Edge نصب کردهاید مشخص کنید: