تثبيت خدمة الدخول المُوحَّد (SSO) على Edge

Edge for Private Cloud الإصدار 4.19.01

يتم تثبيت نُسخ متعددة من الدخول المُوحَّد (SSO) على Edge في حالة توفّر عالية في حالتَين:

  • في بيئة واحدة من مركز بيانات، يمكنك تثبيت مثيلين من اتصال Edge الخاص بخدمة Edge لإنشاء بيئة ذات توفّر عالٍ، ما يعني أنّ النظام يواصل العمل في حال تعطُّل إحدى وحدات Edge SAML.
  • في بيئة تشتمل على مركزي بيانات، عليك تثبيت خدمة Edge المُوحَّدة (SSO) في شبكة Edge في كلا مركزَي البيانات حتى يستمر النظام في العمل في حال تعطُّل إحدى وحدات Edge SAML.

تثبيت وحدتين للدخول الموحّد (SSO) في Edge في مركز البيانات نفسه

يتم نشر مثيلين من الدخول المُوحَّد (SSO) في Edge على عُقد مختلفة في مركز بيانات واحد لتوفير مدى التوفُّر العالي. في هذا السيناريو:

  • يجب توصيل كلتا النسختين من تسجيل الدخول المُوحَّد (SSO) على Edge بحساب Postgres نفسه. تنصح Apigee باستخدام خادم Postgres مخصص لخدمة Edge المُوحَّد (SSO) وليس باستخدام خادم Postgres نفسه الذي تم تثبيته باستخدام Edge.
  • يجب أن تستخدم كلتا النسختين من خدمة Edge الدخول المُوحَّد (SSO) زوج مفاتيح JWT نفسه على النحو المحدّد في السمتَين SSO_JWT_SIGNING_KEY_FILEPATH وSSO_JWT_VERIFICATION_KEY_FILEPATH في ملف الإعداد. راجِع تثبيت خدمة Edge المُوحَّد (SSO) وضبطها لمعرفة المزيد عن إعداد هذه الخصائص.
  • تتطلّب منك استخدام جهاز موازنة الحمل أمام مثيلتَي تسجيل الدخول المُوحَّد (SSO) على Edge:
    • يجب أن يتوافق جهاز موازنة الحمل مع معدّل تكرار استخدام ملفات تعريف الارتباط الذي ينشئه التطبيق، ويجب تسمية ملف تعريف الارتباط للجلسة JSESSIONID.
    • يجب ضبط جهاز موازنة الحمل لإجراء فحص لصحة بروتوكول TCP أو HTTP على خدمة Edge المُوحَّد (SSO). بالنسبة إلى بروتوكول TCP، استخدِم عنوان URL للدخول الموحّد في Edge: 
      http_or_https://edge_sso_IP_DNS:9099

      حدِّد المنفذ على النحو الذي تم ضبطه من خلال الدخول المُوحَّد (SSO) في Edge. المنفذ 9099 هو المنفذ التلقائي.

      بالنسبة إلى HTTP، يجب تضمين /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • تعتمد بعض إعدادات جهاز موازنة الحمل على ما إذا كنت قد فعّلت بروتوكول HTTPS مع الدخول المُوحَّد (SSO) على Edge. راجِع الأقسام التالية للحصول على مزيد من المعلومات.

وصول HTTP إلى الدخول الموحَّد (SSO) إلى Edge

إذا كنت تستخدم إمكانية الوصول عبر HTTP إلى الدخول المُوحَّد (SSO) في Edge، اضبط جهاز موازنة الحمل من أجل:

  • استخدم وضع HTTP للاتصال للدخول الموحّد في Edge.

  • استمِع إلى المنفذ نفسه الذي يتم توصيله عبر الدخول المُوحَّد (SSO) على Edge.

    بشكل تلقائي، يصغي تسجيل الدخول الموحَّد (SSO) إلى Edge إلى طلبات HTTP على المنفذ 9099. اختياريًا، يمكنك استخدام SSO_TOMCAT_PORT لضبط منفذ الدخول المُوحَّد (SSO) في Edge. إذا كنت قد استخدمت SSO_TOMCAT_PORT لتغيير منفذ Edge الخاص بخدمة الدخول الموحّد (SSO) من الإعداد التلقائي، تأكَّد من أنّ جهاز موازنة الحمل يستمع إلى هذا المنفذ.

على سبيل المثال، في كل مثيل لخدمة الدخول المُوحَّد (SSO) على Edge، يمكنك ضبط المنفذ على 9033 من خلال إضافة ما يلي إلى ملف الإعداد:

SSO_TOMCAT_PORT=9033

بعد ذلك، يمكنك ضبط جهاز موازنة الحمل للاستماع عبر المنفذ 9033 وإعادة توجيه الطلبات إلى مثيل Edge الخاص بخدمة الدخول المُوحَّد (SSO) على المنفذ 9033. عنوان URL العام للدخول الموحّد في Edge في هذا السيناريو هو:

http://LB_DNS_NAME:9033

الوصول عبر HTTPS إلى الدخول الموحَّد (SSO) في Edge

يمكنك ضبط حالات تسجيل الدخول المُوحَّد (SSO) على Edge لاستخدام HTTPS. في هذا السيناريو، اتّبِع الخطوات الواردة في ضبط apigee-sso للوصول إلى HTTPS. وكجزء من عملية تفعيل HTTPS، يتم ضبط SSO_TOMCAT_PROFILE في ملف إعداد Edge الخاص بخدمة Edge كما هو موضّح أدناه:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

يمكنك أيضًا، اختياريًا، ضبط المنفذ الذي يستخدمه "الدخول الموحّد" (SSO) على Edge للوصول إلى HTTPS:

SSO_TOMCAT_PORT=9443

بعد ذلك، عليك ضبط جهاز موازنة الحمل لتنفيذ ما يلي:

  • استخدم وضع TCP، وليس وضع HTTP، للاتصال بخدمة Edge الدخول المُوحَّد (SSO).
  • استمع إلى المنفذ نفسه الذي يتم فيه تشغيل الدخول المُوحَّد (SSO) على Edge كما هو موضح في SSO_TOMCAT_PORT.

بعد ذلك، يمكنك ضبط جهاز موازنة الحمل لإعادة توجيه الطلبات إلى مثيل Edge الخاص بخدمة الدخول المُوحَّد (SSO) على المنفذ 9433. عنوان URL العام للدخول الموحّد في Edge في هذا السيناريو هو:

https://LB_DNS_NAME:9443

تثبيت خدمة الدخول المُوحَّد (SSO) في Edge في مراكز بيانات متعدّدة

في بيئة مراكز بيانات متعددة، تقوم بتثبيت مثيل Edge الخاص بخدمة Edge في كل مركز بيانات. ثم يعالج مثيل خدمة الدخول المُوحَّد (SSO) في Edge جميع حركة البيانات. وإذا تعطل مثيل Edge الخاص بخدمة Edge، يمكنك حينئذ التبديل إلى المثيل الثاني لخدمة الدخول المُوحَّد (SSO) من Edge.

قبل تثبيت الدخول المُوحَّد (SSO) عبر Edge في مركزي بيانات، ستحتاج إلى ما يلي:

  • عنوان IP أو اسم النطاق لخادم Master Postgres.

    في بيئة مراكز بيانات متعددة، يتم عادةً تثبيت خادم Postgres واحد في كل مركز بيانات وإعداده في وضع النسخ المتماثل في وضع الاستعداد الرئيسي. في هذا المثال، يتضمّن مركز البيانات 1 خادم Postgres الرئيسي ويحتوي مركز البيانات 2 على Standby. لمزيد من المعلومات، يُرجى الاطّلاع على إعداد النسخ المماثل لوضع الاستعداد لـ Postgres.

  • إدخال واحد لنظام أسماء النطاقات يشير إلى مثيل واحد للدخول الموحَّد (SSO) في Edge. على سبيل المثال، يمكنك إنشاء إدخال نظام أسماء النطاقات في النموذج أدناه والذي يشير إلى مثيل Edge الخاص بتسجيل الدخول في مركز البيانات 1: 
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • يجب أن تستخدم كلتا النسختين من خدمة Edge الدخول المُوحَّد (SSO) زوج مفاتيح JWT نفسه على النحو المحدّد في السمتَين SSO_JWT_SIGNING_KEY_FILEPATH وSSO_JWT_VERIFICATION_KEY_FILEPATH في ملف الإعداد. راجِع تثبيت خدمة Edge المُوحَّد (SSO) وضبطها لمعرفة المزيد عن إعداد هذه الخصائص.

عند تثبيت الدخول المُوحَّد (SSO) في Edge في كل مركز بيانات، يمكنك ضبط كليهما لاستخدام Postgres Master في مركز البيانات 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

يمكنك أيضًا ضبط مركزَي البيانات لاستخدام إدخال نظام أسماء النطاقات كعنوان URL متاح للجميع:

# Externally accessible URL of Edge SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

إذا تعطل الدخول المُوحَّد (SSO) في Edge في مركز البيانات 1، يمكنك التبديل إلى مثيل Edge الخاص بخدمة Edge في مركز البيانات 2:

  1. حوِّل خادم Postgres Standby في مركز البيانات 2 إلى "رئيسي" كما هو موضَّح في التعامل مع تجاوز تعذُّر قاعدة بيانات PostgreSQL.
  2. عدِّل سجلّ نظام أسماء النطاقات لتوجيه my-sso.domain.com إلى مثيل Edge الخاص بخدمة Edge في مركز البيانات 2: 
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. قم بتحديث ملف إعداد Edge الخاص بتسجيل الدخول الأحادي في مركز البيانات 2 للتوجيه إلى خادم Postgres Master الجديد في مركز البيانات 2: 
    ## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. أعِد تشغيل الدخول المُوحَّد (SSO) إلى Edge في مركز البيانات 2 لتعديل الضبط: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart