Edge para la nube privada v4.19.01
La IU de Edge y la API de administración de Edge operan mediante solicitudes al servidor de administración de Edge, en el que el servidor de administración admite los siguientes tipos de autenticación:
- Autenticación básica: accede a la IU de Edge o realiza solicitudes a la API de administración de Edge mediante el paso de tu nombre de usuario y contraseña.
- OAuth2: intercambia tus credenciales de autenticación básica de Edge por un token de acceso de OAuth2 y un token de actualización. Realiza llamadas a la API de Edge Management. Para ello, pasa el token de acceso de OAuth2 en el encabezado del portador de una llamada a la API.
Edge también es compatible con el lenguaje de marcado para confirmaciones de seguridad (SAML) 2.0 como mecanismo de autenticación. Con SAML habilitado, el acceso a la IU de Edge y a la API de Edge Management todavía usa tokens de acceso de OAuth2. Sin embargo, ahora puedes generar estos tokens a partir de las aserciones de SAML que muestra un proveedor de identidad de SAML.
SAML admite un entorno de inicio de sesión único (SSO). Mediante el uso de SAML con Edge, puedes admitir el SSO para la IU y la API de Edge, además de cualquier otro servicio que proporciones y que también admita SAML.
Se agregó compatibilidad con OAuth2 para Edge en la nube privada
Como se mencionó antes, la implementación de Edge de SAML se basa en tokens de acceso de OAuth2.Por lo tanto, se agregó compatibilidad con OAuth2 a Edge para la nube privada. Para obtener más información, consulta Introducción a OAuth 2.0.
Ventajas de SAML
La autenticación de SAML ofrece varias ventajas. Si utiliza SAML, puede hacer lo siguiente:
- Toma el control total de la administración de usuarios. Cuando los usuarios abandonan la organización y se desaprovisionan de forma centralizada, se les niega el acceso a Edge automáticamente.
- Controla cómo se autentican los usuarios para acceder a Edge. Puedes elegir diferentes tipos de autenticación para distintas organizaciones de Edge.
- Controla las políticas de autenticación. Es posible que tu proveedor de SAML admita políticas de autenticación que estén más alineadas con los estándares de tu empresa.
- Puedes supervisar los accesos, las salidas, los intentos de acceso fallidos y las actividades de alto riesgo en la implementación de Edge.
Usa SAML con Edge
Para admitir SAML en Edge, instala apigee-sso, el módulo de SSO de Edge. En la siguiente imagen, se muestra el SSO de Edge en una instalación de Edge para nube privada:
Puedes instalar el módulo de SSO de Edge en el mismo nodo que la IU de Edge y el servidor de administración, o bien en su propio nodo. Asegúrate de que el SSO perimetral tenga acceso al servidor de administración a través del puerto 8080.
El puerto 9099 debe estar abierto en el nodo de SSO de Edge para admitir el acceso al SSO perimetral desde un navegador, desde el IdP externo de SAML, y desde el servidor de administración y la IU de Edge. Como parte de la configuración del SSO Edge, puedes especificar que la conexión externa use HTTP o el protocolo HTTPS encriptado.
El SSO perimetral usa una base de datos de Postgres a la que se puede acceder en el puerto 5432 en el nodo de Postgres. Por lo general, puedes usar el mismo servidor Postgres que instalaste con Edge, ya sea un servidor Postgres independiente o dos servidores Postgres configurados en modo principal/en espera. Si la carga en tu servidor de Postgres es alta, también puedes crear un nodo de Postgres independiente solo para el SSO Edge.
Cuando SAML está habilitado, el acceso a la IU de Edge y a la API de Edge Management usa tokens de acceso de OAuth2. El módulo de SSO perimetral genera estos tokens y acepta las aserciones SAML que muestra el IdP.
Una vez generado a partir de una aserción de SAML, el token de OAuth es válido por 30 minutos, y el token de actualización es válido por 24 horas. Tu entorno de desarrollo puede admitir la automatización para tareas de desarrollo comunes, como la automatización de pruebas o la integración continua/implementación continua (CI/CD), que requieren tokens con una duración más larga. Consulta Usa SAML con tareas automatizadas si quieres obtener información sobre la creación de tokens especiales para tareas automatizadas.
URLs de IU y API de Edge
La URL que usas para acceder a la IU de Edge y a la API de Edge Management es la misma que se usó antes de habilitar SAML. Para la IU de Edge:
http://edge_ui_IP_DNS:9000 https://edge_ui_IP_DNS:9000
En el ejemplo anterior, edge_ui_IP_DNS es la dirección IP o el nombre de DNS de la máquina que aloja la IU de Edge. Como parte de la configuración de la IU de Edge, puedes especificar que la conexión use HTTP o el protocolo HTTPS encriptado.
Para la API de Edge Management, haz lo siguiente:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
En el ejemplo anterior, ms_IP_DNS es la dirección IP o el nombre de DNS del servidor de administración. Como parte de la configuración de la API, puedes especificar que la conexión use HTTP o el protocolo HTTPS encriptado.
Configurar TLS en Edge SSO
De forma predeterminada, la conexión al SSO perimetral usa HTTP a través del puerto 9099 en el nodo que aloja
apigee-sso, el módulo de SSO perimetral. Una instancia de Tomcat integrada en apigee-sso controla las solicitudes HTTP y HTTPS.
El SSO de Edge y Tomcat admiten tres modos de conexión:
- DEFAULT: La configuración predeterminada admite solicitudes HTTP en el puerto 9099.
- SSL_TERMINATION: Se habilitó el acceso TLS al SSO perimetral en el puerto que elijas. Debes especificar una clave y un certificado de TLS para este modo.
- SSL_PROXY: configura el SSO de Edge en modo proxy, lo que significa que instalaste un balanceador de cargas frente a
apigee-ssoy finalizaste TLS en el balanceador de cargas. Puedes especificar el puerto que se usa enapigee-ssopara las solicitudes del balanceador de cargas.
Habilitar la compatibilidad con SAML para el portal
Después de habilitar la compatibilidad con SAML para Edge, puedes habilitar SAML para el portal de servicios para desarrolladores de Apigee (o simplemente, el portal). El portal admite la autenticación SAML cuando se realizan solicitudes a Edge. Ten en cuenta que esta es diferente de la autenticación de SAML para el acceso de los desarrolladores al portal. Debes configurar la autenticación SAML para el acceso del desarrollador por separado. Consulta Configura el portal para que use SAML a fin de comunicarse con Edge para obtener más información.
Como parte de la configuración del portal, debes especificar la URL del módulo de SSO de Edge que instalaste con Edge:
