Compatibilidade com SAML no Edge para nuvem privada

Edge para nuvem privada v4.19.01

A interface e a API de gerenciamento de borda funcionam fazendo solicitações ao servidor de gerenciamento de borda, em que o servidor de gerenciamento oferece suporte aos seguintes tipos de autenticação:

  • Autenticação básica: faça login na interface do Edge ou faça solicitações para o gerenciamento do Edge. com seu nome de usuário e senha.
  • Troque as credenciais do Edge Basic Auth por um acesso do OAuth2 no OAuth2 e o token de atualização. Fazer chamadas para a API Edge Management transmitindo o acesso ao OAuth2 no cabeçalho do portador de uma chamada de API.

O Edge também oferece suporte à Linguagem de marcação para autorização de segurança (SAML, na sigla em inglês) 2.0 como autenticação mecanismo de atenção. Com o SAML ativado, o acesso à interface e à API Edge Management ainda usa o OAuth2. ou tokens de acesso. No entanto, agora você pode gerar esses tokens de declarações SAML retornadas por uma solicitação SAML provedor de identidade externo.

O SAML é compatível com um ambiente de Logon único (SSO). Ao usar o SAML com o Edge, você oferece suporte ao SSO para a interface e a API do Edge, além de todos os outros serviços que você fornece e que também SAML.

Suporte adicionado para OAuth2 ao Edge para nuvem privada.

Como mencionado acima, a implementação do Edge para SAML depende de tokens de acesso OAuth2. O suporte a OAuth2 foi adicionado ao Edge para nuvem privada. Para mais informações, consulte Introdução ao OAuth 2.0.

Vantagens do SAML

A autenticação SAML oferece várias vantagens. Ao usar a SAML, você pode:

  • Assuma o controle total do gerenciamento de usuários. Quando os usuários deixam a organização e desprovisionados centralmente, o acesso ao Edge é negado automaticamente.
  • Controle como os usuários se autenticam para acessar o Edge. É possível escolher diferentes tipos de autenticação para diferentes organizações de Edge.
  • Controlar políticas de autenticação. Seu provedor de SAML pode ser compatível com políticas de autenticação mais alinhadas aos padrões da sua empresa.
  • Você pode monitorar logins, logouts, tentativas de login malsucedidas e atividades de alto risco no implantação do Edge.

Como usar SAML com o Edge

Para oferecer suporte ao SAML no Edge, instale apigee-sso, o módulo SSO do Edge. A A imagem a seguir mostra o Edge SSO em um Edge para instalação de nuvem privada:

É possível instalar o módulo SSO de Borda no mesmo nó que a IU de Borda e o Servidor de Gerenciamento ou em um nó próprio. Verifique se o SSO de Borda tem acesso ao Servidor de Gerenciamento pela porta 8080.

A porta 9099 precisa estar aberta no nó SSO do Edge para permitir o acesso ao SSO do Edge por um navegador. do IdP SAML externo e do servidor de gerenciamento e da interface de borda. Como parte da configuração SSO de borda, é possível especificar que a conexão externa usa HTTP ou HTTPS criptografado protocolo.

O SSO do Edge usa um banco de dados do Postgres acessível na porta 5432 no nó do Postgres. Normalmente, pode usar o mesmo servidor Postgres que você instalou com o Edge, seja um Postgres autônomo; ou dois servidores Postgres configurados no modo mestre/de espera. Se a carga no Postgres for alto, também será possível criar um nó do Postgres separado apenas para o SSO de borda.

Com o SAML ativado, o acesso à interface e à API Edge Management usa tokens de acesso OAuth2. Esses tokens são gerados pelo módulo SSO do Edge, que aceita declarações SAML retornadas pelo seu IdP.

Depois de gerado a partir de uma declaração SAML, o token OAuth é válido por 30 minutos e a atualização é válido por 24 horas. Seu ambiente de desenvolvimento pode oferecer suporte à automação para tarefas tarefas de desenvolvimento, como automação de testes ou integração/implantação contínuas (CI/CD), que exigem tokens com uma duração maior. Consulte Usar SAML com tarefas automatizadas para informações sobre e criar tokens especiais para tarefas automatizadas.

URLs de API e interface do usuário do Edge

O URL que você usa para acessar a interface e a API Edge Management é o mesmo usado antes com o SAML ativado. Na interface do Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

em que edge_ui_IP_DNS é o endereço IP ou nome DNS da máquina. hospedar a interface do Edge. Como parte da configuração da interface do usuário do Edge, é possível especificar que a conexão use o HTTP ou o protocolo HTTPS criptografado.

Para a API Edge Management:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

em que ms_IP_DNS é o endereço IP ou nome DNS do sistema Servidor. Como parte da configuração da API, você pode especificar que a conexão use HTTP ou o um protocolo HTTPS criptografado.

Configurar TLS no SSO de borda

Por padrão, a conexão com o SSO de Borda usa HTTP pela porta 9099 no nó que hospeda apigee-sso, o módulo SSO do Edge. Um Tomcat está integrado ao apigee-sso que processa as solicitações HTTP e HTTPS.

O Edge SSO e o Tomcat são compatíveis com três modos de conexão:

  • DEFAULT: a configuração padrão oferece suporte a solicitações HTTP na porta. 9099.
  • SSL_TERMINATION: ativou o acesso TLS ao SSO do Edge na porta do uma melhor opção. É necessário especificar uma chave TLS e um certificado para esse modo.
  • SSL_PROXY: configura o SSO do Edge em modo proxy, ou seja, você instalou um balanceador de carga na frente de apigee-sso e TLS encerrado na carga de carga. É possível especificar a porta usada em apigee-sso para solicitações da carga de carga.

Ativar o suporte a SAML no portal

Depois de ativar o suporte a SAML para o Edge, você poderá ativar o SAML para o portal de serviços de desenvolvedor da Apigee (ou simplesmente o portal). O portal oferece suporte à autenticação SAML ao fazer solicitações ao Edge. Observe que este é diferente da autenticação SAML para login do desenvolvedor no portal. Você configura o SAML para o login de desenvolvedor separadamente. Consulte Como configurar o portal para usar o SAML para se comunicar com o Edge.

Como parte da configuração do portal, você precisa especificar o URL do SSO do Edge que você instalou com o Edge: