Edge for Private Cloud 4.18.05 sürümü
Edge UI ve Edge Management API'si, Yönetim Sunucusu'nun aşağıdaki kimlik doğrulama türlerini desteklediği Uç Yönetim Sunucusu'na istekte bulunarak çalışır:
- Temel Kimlik Doğrulama Edge kullanıcı arayüzüne giriş yapın veya kullanıcı adınızı ve şifrenizi ileterek Edge Management API'ye istekte bulunun.
- OAuth2 Edge Temel Kimlik Doğrulama kimlik bilgilerinizi OAuth2 erişim jetonu ve yenileme jetonu için değiştirin. Bir API çağrısının Taşıyıcı üstbilgisindeki OAuth2 erişim jetonunu ileterek Edge Management API'ye çağrı yapma.
Edge, kimlik doğrulama sistemi olarak Güvenlik Onayı Biçimlendirme Dili (SAML) 2.0 da destekler. SAML etkinken, Edge kullanıcı arayüzüne ve Edge Management API'ye erişimde OAuth2 erişim jetonları kullanılmaya devam eder. Ancak artık bu jetonları bir SAML kimlik sağlayıcı tarafından döndürülen SAML onaylarından oluşturabilirsiniz.
SAML, tek oturum açma (TOA) ortamını destekler. Edge ile SAML'yi kullanarak, sağladığınız ve SAML'yi destekleyen diğer hizmetlere ek olarak Edge kullanıcı arayüzü ve API için TOA'yı destekleyebilirsiniz.
Private Cloud için Edge'e OAuth2 desteği eklendi
Yukarıda belirtildiği gibi, SAML'nin Edge uygulamasında OAuth2 erişim jetonları temel alınır.Bu nedenle, Private Cloud için Edge'e OAuth2 desteği eklenmiştir. Daha fazla bilgi için OAuth 2.0'a giriş başlıklı makaleye göz atın.
SAML avantajları
SAML kimlik doğrulaması çeşitli avantajlar sunar. SAML kullanarak şunları yapabilirsiniz:
- Kullanıcı yönetimi üzerinde tam kontrol sahibi olun. Kuruluşunuzdan ayrılan ve merkezi olarak temel hazırlığı kaldırılan kullanıcıların Edge'e erişimi otomatik olarak engellenir.
- Kullanıcıların Edge'e erişmek için nasıl kimlik doğrulaması yaptığını denetleyin. Farklı Edge kuruluşları için farklı kimlik doğrulama türleri seçebilirsiniz.
- Kimlik doğrulama politikalarını denetleyin. SAML sağlayıcınız, kurumsal standartlarınıza daha uygun olan kimlik doğrulama politikalarını destekleyebilir.
- Edge dağıtımınızdaki giriş ve çıkış işlemlerini, başarısız giriş denemelerini ve yüksek riskli etkinlikleri izleyebilirsiniz.
Edge ile SAML kullanma
Edge'de SAML'yi desteklemek için Edge TOA modülü olan apigee-sso'i yükleyin. Aşağıdaki resimde, Private Cloud kurulumunda Edge TOA gösterilmektedir:
Edge TOA modülünü Edge Kullanıcı Arayüzü ve Yönetim Sunucusu ile aynı düğüme veya kendi düğümüne yükleyebilirsiniz. Edge TOA'nın, Yönetim Sunucusu'na 8080 bağlantı noktası üzerinden erişimi olduğundan emin olun.
Tarayıcıdan, harici SAML IDP'den ve Yönetim Sunucusu ile Uç Kullanıcı Arayüzünden Edge TOA'ya erişimi desteklemek için Edge TOA düğümünde 9099 bağlantı noktasının açık olması gerekir. Edge TOA'yı yapılandırmanın bir parçası olarak, harici bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanacağını belirtebilirsiniz.
Edge TOA, Postgres düğümündeki 5432 numaralı bağlantı noktasında erişilebilen bir Postgres veritabanı kullanır. Tipik olarak Edge ile yüklediğiniz aynı Postgres sunucusunu, ya bağımsız bir Postgres sunucusu ya da ana/bekleme modunda yapılandırılmış iki Postgres sunucusu kullanabilirsiniz. Postgres sunucunuzdaki yük yüksekse yalnızca Edge TOA için ayrı bir Postgres düğümü oluşturmayı da seçebilirsiniz.
SAML etkinken, Edge kullanıcı arayüzüne ve Edge yönetim API'sine erişim için OAuth2 erişim jetonları kullanılır. Bu jetonlar, IDP'niz tarafından döndürülen SAML onaylarını kabul eden Edge TOA modülü tarafından oluşturulur.
Bir SAML onayından oluşturulduktan sonra OAuth jetonu 30 dakika, yenileme jetonu ise 24 saat boyunca geçerlidir. Geliştirme ortamınız, test otomasyonu veya Sürekli Entegrasyon/Sürekli Dağıtım (CI/CD) gibi daha uzun süreli jetonlar gerektiren yaygın geliştirme görevlerinin otomasyonunu destekleyebilir. Otomatik görevler için özel jetonlar oluşturma hakkında bilgi edinmek için SAML'yi otomatik görevlerle kullanma bölümüne bakın.
Edge kullanıcı arayüzü ve API URL'leri
Edge UI ve Edge Management API'ye erişmek için kullandığınız URL, SAML'yi etkinleştirmeden önce kullanılan URL ile aynıdır. Edge kullanıcı arayüzü için:
http://edge_ui_IP_DNS:9000 https://edge_ui_IP_DNS:9000
Burada edge_ui_IP_DNS, Edge kullanıcı arayüzünü barındıran makinenin IP adresi veya DNS adıdır. Edge kullanıcı arayüzünü yapılandırmanın bir parçası olarak, bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanmasını belirtebilirsiniz.
Edge Management API için:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
burada ms_IP_DNS, Yönetim Sunucusu'nun IP adresi veya DNS adıdır. API'yi yapılandırmanın bir parçası olarak, bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanmasını belirtebilirsiniz.
Edge TOA'da TLS'yi yapılandırma
Varsayılan olarak Edge TOA bağlantısı, Edge TOA modülü olan apigee-sso adlı düğümde 9099 numaralı bağlantı noktası üzerinden HTTP kullanır. apigee-sso ürününde, HTTP ve HTTPS isteklerini işleyen bir Tomcat örneği yer alır.
Edge TOA ve Tomcat, üç bağlantı modunu destekler:
- VARSAYILAN: Varsayılan yapılandırma, 9099 bağlantı noktasında HTTP isteklerini destekler.
- SSL_TERMINATION - Seçtiğiniz bağlantı noktasında Edge TOA'ya TLS erişimi etkinleştirildi. Bu mod için bir TLS anahtarı ve sertifikası belirtmelisiniz.
- SSL_PROXY: Proxy modunda Edge TOA'yı yapılandırır. Bu,
apigee-ssoöğesinin önüne bir yük dengeleyici yüklediğiniz ve yük dengeleyicide TLS'yi sonlandırdığınız anlamına gelir. Yük dengeleyiciden gelen istekler içinapigee-ssoüzerinde kullanılan bağlantı noktasını belirtebilirsiniz.
Portal için SAML desteğini etkinleştir
Edge için SAML desteğini etkinleştirdikten sonra, isteğe bağlı olarak Apigee Developer Services portalı (veya daha basit bir şekilde portal için) için SAML'yi etkinleştirebilirsiniz. Portal, Edge'e istekte bulunurken SAML kimlik doğrulamasını destekler. Bunun, geliştiriciye portala giriş yapmak için kullanılan SAML kimlik doğrulamasından farklı olduğunu unutmayın. Geliştirici girişi için SAML kimlik doğrulamasını ayrı olarak yapılandırırsınız. Daha fazla bilgi için Portalı, Edge ile iletişim kurmak için SAML'yi kullanacak şekilde yapılandırma bölümüne bakın.
Portalı yapılandırmanın bir parçası olarak, Edge ile yüklediğiniz Edge TOA modülünün URL'sini belirtmeniz gerekir:
