Edge para nuvem privada v4.19.01
A interface e a API de gerenciamento de borda funcionam fazendo solicitações ao servidor de gerenciamento de borda, em que o servidor de gerenciamento oferece suporte aos seguintes tipos de autenticação:
- Autenticação básica: faça login na interface do Edge ou faça solicitações para o gerenciamento do Edge. com seu nome de usuário e senha.
- Troque as credenciais do Edge Basic Auth por um acesso do OAuth2 no OAuth2 e o token de atualização. Fazer chamadas para a API Edge Management transmitindo o acesso ao OAuth2 no cabeçalho do portador de uma chamada de API.
O Edge também oferece suporte à Linguagem de marcação para autorização de segurança (SAML, na sigla em inglês) 2.0 como autenticação mecanismo de atenção. Com o SAML ativado, o acesso à interface e à API Edge Management ainda usa o OAuth2. ou tokens de acesso. No entanto, agora você pode gerar esses tokens de declarações SAML retornadas por uma solicitação SAML provedor de identidade externo.
O SAML é compatível com um ambiente de Logon único (SSO). Ao usar o SAML com o Edge, você oferece suporte ao SSO para a interface e a API do Edge, além de todos os outros serviços que você fornece e que também SAML.
Suporte adicionado para OAuth2 ao Edge para nuvem privada.
Como mencionado acima, a implementação do Edge para SAML depende de tokens de acesso OAuth2. O suporte a OAuth2 foi adicionado ao Edge para nuvem privada. Para mais informações, consulte Introdução ao OAuth 2.0.
Vantagens do SAML
A autenticação SAML oferece várias vantagens. Ao usar a SAML, você pode:
- Assuma o controle total do gerenciamento de usuários. Quando os usuários deixam a organização e desprovisionados centralmente, o acesso ao Edge é negado automaticamente.
- Controle como os usuários se autenticam para acessar o Edge. É possível escolher diferentes tipos de autenticação para diferentes organizações de Edge.
- Controlar políticas de autenticação. Seu provedor de SAML pode ser compatível com políticas de autenticação mais alinhadas aos padrões da sua empresa.
- Você pode monitorar logins, logouts, tentativas de login malsucedidas e atividades de alto risco no implantação do Edge.
Como usar SAML com o Edge
Para oferecer suporte ao SAML no Edge, instale apigee-sso
, o módulo SSO do Edge. A
A imagem a seguir mostra o Edge SSO em um Edge para instalação de nuvem privada:
É possível instalar o módulo SSO de Borda no mesmo nó que a IU de Borda e o Servidor de Gerenciamento ou em um nó próprio. Verifique se o SSO de Borda tem acesso ao Servidor de Gerenciamento pela porta 8080.
A porta 9099 precisa estar aberta no nó SSO do Edge para permitir o acesso ao SSO do Edge por um navegador. do IdP SAML externo e do servidor de gerenciamento e da interface de borda. Como parte da configuração SSO de borda, é possível especificar que a conexão externa usa HTTP ou HTTPS criptografado protocolo.
O SSO do Edge usa um banco de dados do Postgres acessível na porta 5432 no nó do Postgres. Normalmente, pode usar o mesmo servidor Postgres que você instalou com o Edge, seja um Postgres autônomo; ou dois servidores Postgres configurados no modo mestre/de espera. Se a carga no Postgres for alto, também será possível criar um nó do Postgres separado apenas para o SSO de borda.
Com o SAML ativado, o acesso à interface e à API Edge Management usa tokens de acesso OAuth2. Esses tokens são gerados pelo módulo SSO do Edge, que aceita declarações SAML retornadas pelo seu IdP.
Depois de gerado a partir de uma declaração SAML, o token OAuth é válido por 30 minutos e a atualização é válido por 24 horas. Seu ambiente de desenvolvimento pode oferecer suporte à automação para tarefas tarefas de desenvolvimento, como automação de testes ou integração/implantação contínuas (CI/CD), que exigem tokens com uma duração maior. Consulte Usar SAML com tarefas automatizadas para informações sobre e criar tokens especiais para tarefas automatizadas.
URLs de API e interface do usuário do Edge
O URL que você usa para acessar a interface e a API Edge Management é o mesmo usado antes com o SAML ativado. Na interface do Edge:
http://edge_ui_IP_DNS:9000 https://edge_ui_IP_DNS:9000
em que edge_ui_IP_DNS é o endereço IP ou nome DNS da máquina. hospedar a interface do Edge. Como parte da configuração da interface do usuário do Edge, é possível especificar que a conexão use o HTTP ou o protocolo HTTPS criptografado.
Para a API Edge Management:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
em que ms_IP_DNS é o endereço IP ou nome DNS do sistema Servidor. Como parte da configuração da API, você pode especificar que a conexão use HTTP ou o um protocolo HTTPS criptografado.
Configurar TLS no SSO de borda
Por padrão, a conexão com o SSO de Borda usa HTTP pela porta 9099 no nó que hospeda
apigee-sso
, o módulo SSO do Edge. Um Tomcat está integrado ao apigee-sso
que processa as solicitações HTTP e HTTPS.
O Edge SSO e o Tomcat são compatíveis com três modos de conexão:
- DEFAULT: a configuração padrão oferece suporte a solicitações HTTP na porta. 9099.
- SSL_TERMINATION: ativou o acesso TLS ao SSO do Edge na porta do uma melhor opção. É necessário especificar uma chave TLS e um certificado para esse modo.
- SSL_PROXY: configura o SSO do Edge em modo proxy, ou seja, você instalou um
balanceador de carga na frente de
apigee-sso
e TLS encerrado na carga de carga. É possível especificar a porta usada emapigee-sso
para solicitações da carga de carga.
Ativar o suporte a SAML no portal
Depois de ativar o suporte a SAML para o Edge, você poderá ativar o SAML para o portal de serviços de desenvolvedor da Apigee (ou simplesmente o portal). O portal oferece suporte à autenticação SAML ao fazer solicitações ao Edge. Observe que este é diferente da autenticação SAML para login do desenvolvedor no portal. Você configura o SAML para o login de desenvolvedor separadamente. Consulte Como configurar o portal para usar o SAML para se comunicar com o Edge.
Como parte da configuração do portal, você precisa especificar o URL do SSO do Edge que você instalou com o Edge: