تثبيت خدمة الدخول المُوحَّد (SSO) على Edge

الإصدار 4.19.01 من Edge for Private Cloud

يمكنك تثبيت مثيلات متعددة من الدخول المُوحَّد (SSO) على شبكة Edge للحصول على مدى توفُّر عالٍ في حالتين:

  • في بيئة مركز بيانات واحدة، قم بتثبيت اثنين من حالات الدخول الموحّد (SSO) على Edge لإنشاء بيئة توفر الخدمة، مما يعني أن النظام يستمر في العمل إذا كان أحد الدخول الموحد (SSO) من شبكة Edge وتنخفض الوحدات.
  • في بيئة بها مركزين للبيانات، قم بتثبيت EdgeSSO في كلا مركزي البيانات بحيث في حال تعطل إحدى وحدات الدخول الموحَّد (SSO) على Edge.

تثبيت وحدتَي تسجيل الدخول الموحَّد (SSO) على شبكة Edge في نفس مركز بيانات

يمكنك نشر حالتين من الدخول الموحَّد (SSO) إلى شبكة Edge، على عُقد مختلفة، في مركز بيانات واحد لدعم وتوافر مرتفع. في هذا السيناريو:

  • يجب توصيل كل من مثيلي خدمة الدخول الموحَّد (SSO) لشبكة Edge بخادم Postgres نفسه. اقتراحات Apigee باستخدام خادم Postgres مخصَّص لخدمة Edge الموحَّدة وليس خادم Postgres نفسه الذي باستخدام Edge.
  • يجب أن يستخدم كلا مثيلي خدمة الدخول الموحَّد (SSO) في Edge نفس زوج مفاتيح JWT كما هو محدد في الحقل SSO_JWT_SIGNING_KEY_FILEPATH وSSO_JWT_VERIFICATION_KEY_FILEPATH الخصائص في ملف التهيئة. يُرجى الاطّلاع على مقالة تثبيت الدخول المُوحَّد (SSO) لتطبيق Edge وضبطه لمزيد من المعلومات عن إعداد هذه السمات
  • تحتاج إلى جهاز موازنة الحمل أمام حالتَي استخدام Edge الموحَّد (SSO):
    • يجب أن يدعم جهاز موازنة الحمل معدّل تثبيت ملفات تعريف الارتباط التي ينشئها التطبيق، بالإضافة إلى الجلسة يجب تسمية ملف تعريف الارتباط JSESSIONID.
    • اضبط جهاز موازنة الحمل لتنفيذ فحص سلامة بروتوكول TCP أو HTTP على خدمة Edge المُوحَّد (SSO). بالنسبة لبروتوكول TCP، استخدم عنوان URL للدخول الموحّد (SSO) من Edge: 
      http_or_https://edge_sso_IP_DNS:9099

      حدِّد المنفذ على النحو الذي تم ضبطه من خلال الدخول المُوحَّد (SSO) على شبكة Edge. المنفذ 9099 هو المنفذ التلقائي.

      بالنسبة إلى HTTP، ضمِّن /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • تعتمد بعض إعدادات جهاز موازنة الحمل على ما إذا كان قد تم تفعيل HTTPS على خدمة الدخول المُوحَّد (SSO) على شبكة Edge أم لا. يمكنك الاطّلاع على الأقسام التالية لمزيد من المعلومات.

الوصول إلى HTTP إلى الدخول المُوحَّد (SSO) إلى Edge

إذا كنت تستخدم وصول HTTP إلى خدمة Edge الأحادية، يمكنك ضبط جهاز موازنة الحمل على:

  • استخدِم وضع HTTP للاتصال بخدمة الدخول المُوحَّد (SSO) على شبكة Edge.

  • الاستماع على المنفذ نفسه الذي تتوفّر فيه خدمة الدخول المُوحَّد (SSO) على شبكة Edge

    تلقائيًا، يرصد الدخول المُوحَّد (SSO) على Edge طلبات HTTP على المنفذ 9099. اختياريًا، يمكنك استخدام SSO_TOMCAT_PORT لضبط منفذ الدخول المُوحَّد (SSO) على Edge. في حال استخدام SSO_TOMCAT_PORT لتغيير منفذ الدخول الموحَّد (SSO) من Edge من الإعداد التلقائي، تأكَّد من أنّ جهاز موازنة الحمل يستمع إلى ذلك المنفذ.

على سبيل المثال، في كل مثيل للدخول الموحّد في Edge، يمكنك ضبط المنفذ على 9033 من خلال إضافة ما يلي إلى ملف التكوين:

SSO_TOMCAT_PORT=9033

بعد ذلك يمكنك ضبط جهاز موازنة الحمل على الاستماع على المنفذ 9033 وطلبات إعادة توجيه الطلبات إلى شبكة Edge. مثيل خدمة الدخول المُوحَّد (SSO) في المنفذ 9033 عنوان URL العام للدخول الموحّد (SSO) من Edge في هذا السيناريو هو:

http://LB_DNS_NAME:9033

الوصول عبر HTTPS إلى الدخول المُوحَّد (SSO) إلى Edge

يمكنك ضبط مثيلات الدخول المُوحَّد (SSO) في Edge لاستخدام HTTPS. في هذا السيناريو، اتبع الخطوات الواردة في إعداد apigee-sso للدخول إلى HTTPS بالنسبة في عملية تفعيل HTTPS، يتم ضبط SSO_TOMCAT_PROFILE في الدخول المُوحَّد (SSO) على شبكة Edge. كما هو موضح أدناه:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

يمكنك أيضًا اختياريًا ضبط المنفذ الذي تستخدمه خدمة Edge المُوحَّد (SSO) للوصول عبر HTTPS:

SSO_TOMCAT_PORT=9443

بعد ذلك، اضبط جهاز موازنة الحمل على:

  • استخدِم وضع TCP، وليس وضع HTTP، للاتصال بخدمة Edge المُوحَّد (SSO).
  • الاستماع على المنفذ نفسه الذي تتوفّر فيه خدمة Edge الموحَّد (SSO) على النحو المحدّد في SSO_TOMCAT_PORT.

بعد ذلك، عليك ضبط جهاز موازنة الحمل على إعادة توجيه الطلبات إلى مثيل Edge الموحّد على المنفذ 9433. عنوان URL العام للدخول الموحّد (SSO) من Edge في هذا السيناريو هو:

https://LB_DNS_NAME:9443

تثبيت الدخول الموحَّد (SSO) لشبكة Edge في مراكز بيانات متعددة

في بيئة مركز بيانات متعددة، يمكنك تثبيت مثيل Edge الموحَّد (SSO) في كل مركز بيانات. يتعامل مثيل خدمة الدخول الموحَّد (SSO) من Edge بعد ذلك مع جميع حركة البيانات. إذا تعطلت مثيل خدمة Edge الموحَّدة، فيمكنك التبديل إلى مثيل الدخول المُوحَّد (SSO) الثاني على Edge.

قبل تثبيت الدخول المُوحَّد (SSO) في Edge في مركزي بيانات، ستحتاج إلى ما يلي:

  • عنوان IP أو اسم النطاق لخادم Master Postgres.

    في بيئة مركز بيانات متعددة، تقوم عادةً بتثبيت خادم Postgres واحد في كل بيانات وتهيئتها في وضع النسخ المتماثل Master-Standby. في هذا المثال، البيانات مركز 1 يحتوي على خادم الرئيسي Postgres ومركز البيانات 2 يحتوي على مستوى الاستعداد. لمزيد من المعلومات، يُرجى الاطّلاع على إعداد النسخ الاحتياطي الرئيسي في Postgres:

  • إدخال واحد لنظام أسماء النطاقات يشير إلى مثيل واحد للدخول المُوحَّد (SSO) على شبكة Edge. على سبيل المثال، تقوم بإنشاء DNS الإدخال في النموذج أدناه والذي يشير إلى مثيل Edge للدخول الموحّد في مركز البيانات 1: 
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • يجب أن يستخدم كلا مثيلي خدمة الدخول الموحَّد (SSO) في Edge نفس زوج مفاتيح JWT كما هو محدد في الحقل SSO_JWT_SIGNING_KEY_FILEPATH وSSO_JWT_VERIFICATION_KEY_FILEPATH الخصائص في ملف التهيئة. يُرجى الاطّلاع على مقالة تثبيت الدخول المُوحَّد (SSO) لتطبيق Edge وضبطه لمزيد من المعلومات عن إعداد هذه السمات

عند تثبيت الدخول المُوحَّد (SSO) في Edge في كل مركز بيانات، يمكنك ضبط كليهما لاستخدام Postgres Master في مركز البيانات 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

يمكنك أيضًا ضبط كلا مركزَي البيانات لاستخدام إدخال نظام أسماء النطاقات كعنوان URL متاح للجميع:

# Externally accessible URL of Edge SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

إذا انخفض تسجيل الدخول الأحادي إلى Edge في مركز البيانات 1، يمكنك بعد ذلك التبديل إلى مثيل خدمة Edge الموحَّدة في البيانات المركز 2:

  1. حوِّل خادم Postgres Standby في مركز البيانات 2 إلى خادم رئيسي كما هو موضّح في التعامل مع إخفاق قاعدة بيانات PostgreSQL.
  2. عدِّل سجلّ نظام أسماء النطاقات لتوجيه my-sso.domain.com إلى مثيل الدخول المُوحَّد (SSO) في Edge في مركز البيانات 2: 
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. تحديث ملف التهيئة للدخول الموحّد (SSO) لشبكة Edge في مركز البيانات 2 للإشارة إلى Postgres Master الجديد الخادم في مركز البيانات 2: 
    ## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. أعِد تشغيل الدخول الموحَّد (SSO) إلى Edge في مركز البيانات 2 لتعديل الإعدادات: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart