הגדרת הפורטל לשימוש ב-SAML לתקשורת עם Edge

Edge for Private Cloud גרסה 4.19.01

פורטל שירותי המפתחים של Apigee (או פשוט הפורטל) משמש כלקוח של Apigee Edge. כלומר, הפורטל פועלות כמערכת עצמאית, במקום זאת, רוב המידע שמשמש את הפורטל מאוחסנים ב-Edge. במקרה הצורך, הפורטל שולח בקשה לאחזור מידע מ-Edge או כדי לשלוח מידע אל Edge.

הפורטל תמיד משויך לארגון אחד ב-Edge. כשמגדירים את אפשר לציין את פרטי הכניסה הבסיסיים לאימות (שם משתמש וסיסמה) עבור בארגון שבו הפורטל משתמש כדי לתקשר עם Edge.

אם בוחרים להפעיל את SAML לאימות Edge, אפשר להגדיר שהפורטל ישתמש אימות SAML כששולחים בקשות ל-Edge. הגדרת הפורטל לשימוש ב-SAML יוצרת באופן אוטומטי חשבון משתמש חדש במחשב בארגון Edge, שאותו משמש לשליחת בקשות ל-Edge. למידע נוסף על משתמשי מכונות, ראו שימוש ב-SAML עם משימות אוטומטיות.

כדי שהתמיכה ב-SAML לפורטל, תצטרכו להתקין ולהגדיר את אפליקציית Edge מודול SSO בצומת של שרת ניהול הקצה. התהליך הכללי להפעלת SAML עבור הפורטל הוא:

  1. הגדרת SAML ב-Edge כפי שמתואר במאמר התקנה והגדרה של SAML עבור Edge. הערה: עדיין צריך להפעיל את האימות הבסיסי ב-Edge כדי להתקין את בפורטל. לא להשבית את Basic Auth ב-Edge עד שמגדירים את הפורטל לשימוש SAML.
  2. מתקינים את הפורטל ומוודאים שההתקנה עובדת כמו שצריך. ראו התקנת Edge לשימוש פרטי Cloud Portal
  3. הגדרת SAML בפורטל.
  4. עכשיו אפשר להשבית את Basic Auth ב-Edge.

יצירת משתמש במחשב לפורטל

כש-SAML מופעל, Edge תומך ביצירה אוטומטית של אסימון OAuth2 באמצעות משתמשים במכונות. משתמש במחשב יכול לקבל אסימוני OAuth2 בלי לציין קוד סיסמה. כלומר, אפשר לבצע אוטומציה לחלוטין של תהליך הקבלה והרענון של OAuth2 לאסימונים אישיים.

תהליך התצורה של SAML לפורטל יוצר באופן אוטומטי משתמש במכונה לארגון שמשויך לפורטל. לאחר מכן הפורטל משתמש בחשבון המשתמש במחשב הזה כדי מתחברים ל-Edge. למידע נוסף על משתמשי מחשבים, ראו שימוש SAML עם משימות אוטומטיות.

מידע על אימות למפתח של פורטל חשבונות

כשמגדירים שהפורטל ישתמש ב-SAML, הוא יוכל להשתמש ב-SAML לצורך אימות עם Edge, כדי שהפורטל יוכל לשלוח בקשות ל-Edge. אבל הפורטל תומך גם בסוג של משתמש בשם מפתחים.

המפתחים הם חלק מקהילת המשתמשים שבונים אפליקציות בעזרת ממשקי ה-API שלכם. מפתחי אפליקציות להשתמש בפורטל כדי ללמוד על ממשקי ה-API שלכם, לרשום אפליקציות שמשתמשות בממשקי ה-API, לקיים אינטראקציה לקהילת המפתחים, ולהציג מידע סטטיסטי על השימוש שלהם באפליקציות במרכז הבקרה.

כשמפתח מתחבר לפורטל, הוא הפורטל שאחראי על אימות המפתח ולאכיפה של הרשאות מבוססות-תפקידים. הפורטל ממשיך להשתמש באימות בסיסי עם מפתחים גם אחרי שמפעילים SAML בין הפורטל ל-Edge. למידע נוסף, ראה תקשורת בין הפורטל ל-Edge.

אפשר גם להגדיר את הפורטל לשימוש ב-SAML כדי לאמת מפתחים. עבור דוגמה להפעלת SAML באמצעות מודולים של Drupal של צד שלישי: שילוב SSO דרך SAML עם פורטל המפתחים.

צריך להגדיר SAML בפורטל כדי תקשורת עם Edge

כדי להגדיר SAML לפורטל, צריך ליצור קובץ תצורה להגדרת הפורטל:

# IP address of Edge Management Server and apigee-sso node.
IP1=22.222.22.222

# URL of Edge management API.
MGMT_URL=http://$IP1:8080/v1

# Org associated with the portal.
EDGE_ORG=myorg

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP1
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# Default is "n" to disable SAML support.
DEVPORTAL_SSO_ENABLED=y

# The name of the OAuth client used to connect to apigee-sso. 
# The default client name is portalcli.
PORTALCLI_SSO_CLIENT_NAME=portalcli
# Oauth client password using uppercase, lowercase, number, and special chars. 
PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1

# Email address and user info for the machine user created in 
# the Edge org specified above by EDGE_ORG. 
# This account is used by the portal to make requests to Edge.
# Add this email as an org admin before configuring the portal to use SAML. 
DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com
DEVPORTAL_ADMIN_FIRSTNAME=DevPortal
DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin
DEVPORTAL_ADMIN_PWD=Abcdefg@1

# If set, the existing portal OAuth client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you configure SAML and change the value of 
# any of the PORTALCLI_* properties.
PORTALCLI_SSO_CLIENT_OVERWRITE=y

כדי להפעיל תמיכה ב-SAML בפורטל:

  1. בממשק המשתמש של Edge, מוסיפים את משתמש המכונה שצוין על ידי DEVPORTAL_ADMIN_EMAIL ארגון שמשויך לפורטל בתור אדמין ארגוני.
  2. מריצים את הפקודה הבאה כדי להגדיר את SAML בפורטל:
    /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f samlConfigFile

    samlConfigFile הוא קובץ התצורה של SAML.

  3. להתחבר לפורטל בתור אדמין של הפורטל.
  4. בתפריט של Drupal, בוחרים באפשרות Configuration > (הגדרה) > Dev Portal. הפורטל יופיע מסך ההגדרה, כולל ההגדרות של SAML:

    שים לב שהתיבה עבור הארגון הזה מופעל ב-SAML היא ונקודת הקצה של מודול ה-Edge SSO ימולאו, מפתח ה-API וגם ממלאים את השדות סוד צרכן של לקוח OAuth בפורטל, ואת הערכים ההודעה החיבור בוצע בהצלחה מופיעה מתחת לבדיקה לחצן התחברות.

  5. אפשר ללחוץ על הלחצן בדיקת החיבור כדי לבדוק מחדש את החיבור ב בכל שלב.

כדי לשנות את הערכים האלה מאוחר יותר, מעדכנים את קובץ התצורה ומריצים שוב את הפקודה.

השבתת SAML בפורטל

אם בוחרים להשבית את SAML לתקשורת בין הפורטל ל-Edge, לא תוכלו יותר לשלוח בקשות ל-Edge. המפתחים יכולים להתחבר לפורטל, אבל לא יכולים להציג מוצר או ליצור אפליקציות.

כדי להשבית את SAML בפורטל:

  1. עורכים את קובץ התצורה שבו השתמשתם כדי להגדיר את SAM:
    DEVPORTAL_SSO_ENABLED=n
  2. מגדירים את הפורטל:
    /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile