Compatibilité SAML sur Edge pour le cloud privé

Edge pour le cloud privé v4.19.01

L'interface utilisateur Edge et l'API de gestion Edge envoient des requêtes au serveur de gestion périphérique, lequel est compatible avec les types d'authentification suivants:

  • Authentification de base : connectez-vous à l'interface utilisateur Edge ou envoyez des requêtes à l'API Edge Management en transmettant votre nom d'utilisateur et votre mot de passe.
  • OAuth2 : échangez vos identifiants Edge Basic Auth contre un jeton d'accès OAuth2 et actualisez le jeton. Effectuez des appels vers l'API Edge Management en transmettant le jeton d'accès OAuth2 dans l'en-tête Support d'un appel d'API.

Edge est également compatible avec le langage SAML (Security Assertion Markup Language) 2.0 comme mécanisme d'authentification. Lorsque SAML est activé, l'accès à l'interface utilisateur et à l'API de gestion Edge utilise toujours des jetons d'accès OAuth2. Toutefois, vous pouvez à présent générer ces jetons à partir des assertions SAML renvoyées par un fournisseur d'identité SAML.

SAML est compatible avec un environnement d'authentification unique (SSO). En utilisant SAML avec Edge, vous pouvez prendre en charge l'authentification unique pour l'interface utilisateur et l'API Edge en plus de tous les autres services que vous fournissez et qui sont également compatibles avec SAML.

Prise en charge d'OAuth2 dans Edge pour le cloud privé

Comme indiqué ci-dessus, la mise en œuvre périphérique de SAML repose sur des jetons d'accès OAuth2.Par conséquent, le protocole OAuth2 a été ajouté à Edge pour le cloud privé. Pour en savoir plus, consultez Présentation d'OAuth 2.0.

Avantages de SAML

L'authentification SAML offre plusieurs avantages. Avec SAML, vous pouvez effectuer les opérations suivantes :

  • Prenez le contrôle total de la gestion des utilisateurs. Lorsque les utilisateurs quittent votre organisation et sont déprovisionnés de manière centralisée, l'accès à Edge est automatiquement refusé.
  • Contrôlez la façon dont les utilisateurs s'authentifient pour accéder à Edge. Vous pouvez choisir différents types d'authentification pour différentes organisations Edge.
  • Contrôlez les règles d'authentification. Votre fournisseur SAML peut accepter des règles d'authentification plus conformes aux normes de votre entreprise.
  • Vous pouvez surveiller les connexions, les déconnexions, les tentatives de connexion infructueuses et les activités à haut risque sur votre déploiement Edge.

Utiliser SAML avec Edge

Pour prendre en charge SAML sur Edge, installez apigee-sso, le module d'authentification unique Edge. L'image suivante montre l'authentification unique Edge dans une installation Edge pour le cloud privé:

Vous pouvez installer le module Edge SSO sur le même nœud que l'interface utilisateur et le serveur de gestion Edge, ou sur son propre nœud. Assurez-vous que l'authentification unique Edge a accès au serveur de gestion sur le port 8080.

Le port 9099 doit être ouvert sur le nœud SSO unique pour permettre l'accès à l'authentification unique depuis un navigateur, l'IdP SAML externe, ainsi que le serveur de gestion et l'interface utilisateur Edge. Lorsque vous configurez l'authentification unique Edge, vous pouvez spécifier que la connexion externe utilise le protocole HTTP ou le protocole HTTPS chiffré.

Edge SSO utilise une base de données Postgres accessible sur le port 5432 du nœud Postgres. En règle générale, vous pouvez utiliser le serveur Postgres que vous avez installé avec Edge, soit un serveur Postgres autonome, soit deux serveurs Postgres configurés en mode maître/de secours. Si la charge sur votre serveur Postgres est élevée, vous pouvez également choisir de créer un nœud Postgres distinct uniquement pour l'authentification unique Edge.

Lorsque SAML est activé, l'accès à l'interface utilisateur et à l'API de gestion Edge utilise des jetons d'accès OAuth2. Ces jetons sont générés par le module Edge SSO qui accepte les assertions SAML renvoyées par votre fournisseur d'identité.

Une fois généré à partir d'une assertion SAML, le jeton OAuth est valide pendant 30 minutes et le jeton d'actualisation pendant 24 heures. Votre environnement de développement peut être compatible avec l'automatisation pour des tâches de développement courantes, telles que l'automatisation des tests ou l'intégration continue/le déploiement continu (CI/CD), qui nécessitent des jetons d'une durée plus longue. Pour en savoir plus sur la création de jetons spéciaux pour les tâches automatisées, consultez la page Utiliser SAML avec des tâches automatisées.

URL périphériques et URL d'API

L'URL que vous utilisez pour accéder à l'interface utilisateur et à l'API de gestion Edge est la même qu'avant l'activation de SAML. Pour l'interface utilisateur Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

edge_ui_IP_DNS est l'adresse IP ou le nom DNS de la machine hébergeant l'interface utilisateur Edge. Dans le cadre de la configuration de l'interface utilisateur Edge, vous pouvez spécifier que la connexion utilise HTTP ou le protocole HTTPS chiffré.

Pour l'API de gestion Edge:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

ms_IP_DNS est l'adresse IP ou le nom DNS du serveur de gestion. Lors de la configuration de l'API, vous pouvez spécifier que la connexion utilise HTTP ou le protocole HTTPS chiffré.

Configurer le protocole TLS sur Edge SSO

Par défaut, la connexion à l'authentification unique Edge utilise HTTP sur le port 9099 sur le nœud hébergeant apigee-sso, le module d'authentification unique Edge. Intégrée à apigee-sso, il s'agit d'une instance Tomcat qui gère les requêtes HTTP et HTTPS.

L'authentification unique Edge et Tomcat sont compatibles avec trois modes de connexion:

  • DEFAULT (Par défaut) : la configuration par défaut est compatible avec les requêtes HTTP sur le port 9099.
  • SSL_TERMINATION : autorisation d'accès TLS à Edge SSO sur le port de votre choix. Vous devez spécifier une clé et un certificat TLS pour ce mode.
  • SSL_PROXY : configure l'authentification unique Edge en mode proxy. Cela signifie que vous avez installé un équilibreur de charge devant apigee-sso et arrêté le protocole TLS sur l'équilibreur de charge. Vous pouvez spécifier le port utilisé sur apigee-sso pour les requêtes de l'équilibreur de charge.

Activer la compatibilité SAML pour le portail

Après avoir activé la compatibilité SAML avec Edge, vous pouvez éventuellement activer SAML pour le portail des services pour les développeurs Apigee (ou simplement le portail). Le portail prend en charge l'authentification SAML lors de l'envoi de requêtes à Edge. Notez que ceci est différent de l'authentification SAML pour la connexion d'un développeur au portail. Vous configurez l'authentification SAML pour la connexion du développeur séparément. Pour en savoir plus, consultez la section Configurer le portail pour utiliser SAML pour communiquer avec Edge.

Lors de la configuration du portail, vous devez spécifier l'URL du module Edge SSO que vous avez installé avec Edge: