Cette page a été traduite par l'API Cloud Translation.

Compatibilité SAML sur Edge pour le cloud privé

Edge for Private Cloud v4.18.05

L'interface utilisateur Edge et l'API de gestion Edge fonctionnent en envoyant des requêtes au serveur de gestion Edge, où le serveur de gestion prend en charge les types d'authentification suivants:

Authentification de base Connectez-vous à l'interface utilisateur Edge ou envoyez des requêtes à l'API de gestion Edge en transmettant votre nom d'utilisateur et votre mot de passe.
OAuth2 : échangez vos identifiants d'authentification de base Edge contre un jeton d'accès OAuth2 et un jeton d'actualisation. Effectuer des appels à l'API de gestion Edge en transmettant le jeton d'accès OAuth2 dans l'en-tête de support d'un appel d'API.

Edge est également compatible avec le langage SAML (Security Assertion Markup Language) 2.0 en tant que mécanisme d'authentification. Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise toujours les jetons d'accès OAuth2. Toutefois, vous pouvez désormais générer ces jetons à partir d'assertions SAML renvoyées par un fournisseur d'identité SAML.

SAML est compatible avec un environnement d'authentification unique (SSO). En utilisant SAML avec Edge, vous pouvez prendre en charge l'authentification unique pour l'interface utilisateur et l'API Edge en plus de tous les autres services que vous fournissez et qui prennent également en charge SAML.

Prise en charge d'OAuth2 dans Edge for Private Cloud

Comme mentionné ci-dessus, l'implémentation Edge de SAML repose sur des jetons d'accès OAuth2.Par conséquent, la prise en charge d'OAuth2 a été ajoutée à Edge for Private Cloud. Pour en savoir plus, consultez Présentation d'OAuth 2.0.

Avantages de SAML

L'authentification SAML offre plusieurs avantages. Avec SAML, vous pouvez effectuer les opérations suivantes :

Prenez le contrôle total de la gestion des utilisateurs. Lorsque des utilisateurs quittent votre organisation et sont déprovisionnés de manière centralisée, leur accès à Edge leur est automatiquement refusé.
Contrôlez la manière dont les utilisateurs s'authentifient pour accéder à Edge. Vous pouvez choisir différents types d'authentification pour différentes organisations Edge.
Contrôler les règles d'authentification. Votre fournisseur SAML peut prendre en charge des règles d'authentification plus conformes aux normes de votre entreprise.
Vous pouvez surveiller les connexions, les déconnexions, les tentatives de connexion infructueuses et les activités à haut risque sur votre déploiement Edge.

Utilisation de SAML avec Edge

Pour prendre en charge SAML sur Edge, installez apigee-sso, le module SSO Edge. L'image suivante montre l'authentification unique Edge dans une installation Edge pour Private Cloud:

Vous pouvez installer le module d'authentification unique Edge sur le même nœud que l'interface utilisateur Edge et le serveur de gestion, ou sur son propre nœud. Assurez-vous que l'authentification unique Edge a accès au serveur de gestion via le port 8080.

Le port 9099 doit être ouvert sur le nœud SSO Edge pour permettre l'accès à l'authentification unique Edge à partir d'un navigateur, à partir de l'IdP SAML externe, du serveur de gestion et de l'interface utilisateur Edge. Lors de la configuration de l'authentification unique Edge, vous pouvez spécifier que la connexion externe utilise HTTP ou le protocole HTTPS chiffré.

Edge SSO utilise une base de données Postgres accessible sur le port 5432 du nœud Postgres. En règle générale, vous pouvez utiliser le même serveur Postgres que vous avez installé avec Edge, soit un serveur Postgres autonome, soit deux serveurs Postgres configurés en mode maître/veille. Si la charge sur votre serveur Postgres est élevée, vous pouvez également choisir de créer un nœud Postgres distinct réservé à Edge SSO.

Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise des jetons d'accès OAuth2. Ces jetons sont générés par le module SSO Edge qui accepte les assertions SAML renvoyées par votre IdP.

Une fois généré à partir d'une assertion SAML, le jeton OAuth est valide pendant 30 minutes et le jeton d'actualisation pendant 24 heures. Votre environnement de développement peut accepter l'automatisation pour des tâches de développement courantes, telles que l'automatisation des tests ou l'intégration continue/le déploiement continu (CI/CD), qui nécessitent des jetons d'une durée plus longue. Pour en savoir plus sur la création de jetons spéciaux pour les tâches automatisées, consultez la section Utiliser SAML avec les tâches automatisées.

Interface utilisateur Edge et URL de l'API

L'URL que vous utilisez pour accéder à l'interface utilisateur Edge et à l'API de gestion Edge est la même que celle utilisée avant l'activation de SAML. Pour l'interface utilisateur Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

où edge_ui_IP_DNS est l'adresse IP ou le nom DNS de la machine hébergeant l'interface utilisateur Edge. Dans le cadre de la configuration de l'interface utilisateur Edge, vous pouvez spécifier que la connexion utilise HTTP ou le protocole HTTPS chiffré.

Pour l'API de gestion Edge:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

où ms_IP_DNS est l'adresse IP ou le nom DNS du serveur de gestion. Lors de la configuration de l'API, vous pouvez spécifier que la connexion utilise le protocole HTTP ou le protocole HTTPS chiffré.

Configurer TLS sur Edge SSO

Par défaut, la connexion à l'authentification unique Edge utilise HTTP sur le port 9099 sur le nœud hébergeant apigee-sso, le module SSO Edge. apigee-sso intègre une instance Tomcat qui gère les requêtes HTTP et HTTPS.

Edge SSO et Tomcat prennent en charge trois modes de connexion:

DEFAULT : la configuration par défaut accepte les requêtes HTTP sur le port 9099.
SSL_TERMINATION : l'accès TLS à Edge SSO a été activé sur le port de votre choix. Vous devez spécifier une clé et un certificat TLS pour ce mode.
SSL_PROXY : configure l'authentification unique Edge en mode proxy, ce qui signifie que vous avez installé un équilibreur de charge devant apigee-sso et mis fin au protocole TLS sur l'équilibreur de charge. Vous pouvez spécifier le port utilisé sur apigee-sso pour les requêtes provenant de l'équilibreur de charge.

Activer la compatibilité SAML pour le portail

Après avoir activé la prise en charge SAML pour Edge, vous pouvez éventuellement activer SAML pour le portail de services pour les développeurs Apigee (ou simplement, le portail). Le portail prend en charge l'authentification SAML lors de l'envoi de requêtes à Edge. Notez que cette méthode diffère de l'authentification SAML pour la connexion des développeurs au portail. Vous configurez l'authentification SAML séparément pour la connexion des développeurs. Pour en savoir plus, consultez la section Configurer le portail pour utiliser SAML pour communiquer avec Edge.

Dans le cadre de la configuration du portail, vous devez spécifier l'URL du module d'authentification unique Edge que vous avez installé avec Edge: