Edge per Private Cloud v4.19.01
L'interfaccia utente perimetrale e l'API di gestione perimetrale funzionano inoltrando richieste a Edge Management Server, dove quest'ultimo supporta i seguenti tipi di autenticazione:
- Autenticazione di base Accedi all'interfaccia utente Edge o invia richieste all'API Edge Management passando il tuo nome utente e la password.
- OAuth2 Scambia le credenziali di autenticazione di base di Edge per un token di accesso e un token di aggiornamento OAuth2. Effettua chiamate all'API Edge Management passando il token di accesso OAuth2 nell'intestazione di connessione di una chiamata API.
Edge supporta inoltre SAML (Security Assertion Markup Language) 2.0 come meccanismo di autenticazione. Con SAML abilitato, per l'accesso all'interfaccia utente e all'API Edge Management vengono comunque utilizzati i token di accesso OAuth2. Tuttavia, ora puoi generare questi token da asserzioni SAML restituite da un provider di identità SAML.
SAML supporta un ambiente Single Sign-On (SSO). Utilizzando SAML con Edge, puoi supportare il servizio SSO per l'API e la UI di Edge, oltre a qualsiasi altro servizio da te fornito e che supporti SAML.
Supporto aggiunto per OAuth2 a Edge per il cloud privato
Come accennato in precedenza, l'implementazione Edge di SAML si basa su token di accesso OAuth2.Di conseguenza, è stato aggiunto il supporto OAuth2 a Edge per il cloud privato. Per maggiori informazioni, consulta Introduzione a OAuth 2.0.
Vantaggi di SAML
L'autenticazione SAML offre diversi vantaggi. Con SAML puoi:
- Assumi il controllo completo della gestione degli utenti. Quando gli utenti lasciano l'organizzazione e ne viene eseguito il deprovisioning a livello centrale, gli viene automaticamente negato l'accesso a Edge.
- Controlla il modo in cui gli utenti eseguono l'autenticazione per accedere a Edge. Puoi scegliere tipi di autenticazione diversi per organizzazioni Edge diverse.
- Controlla i criteri di autenticazione. Il tuo provider SAML potrebbe supportare criteri di autenticazione più in linea con i tuoi standard aziendali.
- Puoi monitorare accessi, disconnessioni, tentativi di accesso non riusciti e attività ad alto rischio sul deployment Edge.
Utilizzo di SAML con Edge
Per supportare SAML su Edge, devi installare apigee-sso, il modulo SSO Edge. La
seguente immagine mostra Edge SSO in un'installazione Edge per cloud privato:
Puoi installare il modulo Edge SSO sullo stesso nodo della UI e del server di gestione Edge oppure su un nodo dedicato. Assicurati che il servizio SSO perimetrale abbia accesso al server di gestione sulla porta 8080.
La porta 9099 deve essere aperta sul nodo SSO Edge per supportare l'accesso a Edge SSO da un browser, dall'IdP SAML esterno e dal server di gestione e dall'UI perimetrale. Durante la configurazione del servizio SSO perimetrale, puoi specificare che la connessione esterna utilizzi HTTP o il protocollo HTTPS criptato.
Il servizio SSO perimetrale utilizza un database Postgres accessibile sulla porta 5432 nel nodo Postgres. In genere, puoi utilizzare lo stesso server Postgres che hai installato con Edge, un server Postgres autonomo o due server Postgres configurati in modalità master/standby. Se il carico sul server Postgres è elevato, puoi anche scegliere di creare un nodo Postgres separato solo per l'SSO Edge.
Se SAML è abilitato, l'accesso all'interfaccia utente e all'API Edge Management utilizza i token di accesso OAuth2. Questi token vengono generati dal modulo Edge SSO che accetta le asserzioni SAML restituite dall'IdP.
Una volta generato da un'asserzione SAML, il token OAuth è valido per 30 minuti e il token di aggiornamento è valido per 24 ore. Il tuo ambiente di sviluppo potrebbe supportare l'automazione per attività di sviluppo comuni, come l'automazione dei test o l'integrazione continua/deployment continuo (CI/CD), che richiedono token con una durata maggiore. Consulta l'articolo sull'utilizzo di SAML con le attività automatizzate per informazioni sulla creazione di token speciali per le attività automatizzate.
URL API e UI perimetrali
L'URL che utilizzi per accedere all'interfaccia utente perimetrale e all'API di gestione perimetrale è lo stesso utilizzato prima dell'abilitazione di SAML. Per l'UI Edge:
http://edge_ui_IP_DNS:9000 https://edge_ui_IP_DNS:9000
dove edge_ui_IP_DNS è l'indirizzo IP o il nome DNS della macchina che ospita la UI perimetrale. Durante la configurazione dell'interfaccia utente Edge, puoi specificare che la connessione utilizzi HTTP o il protocollo HTTPS criptato.
Per l'API Edge Management:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
dove ms_IP_DNS è l'indirizzo IP o il nome DNS del server di gestione. Durante la configurazione dell'API, puoi specificare che la connessione utilizzi HTTP o il protocollo HTTPS criptato.
Configurazione di TLS su SSO perimetrale
Per impostazione predefinita, la connessione all'SSO perimetrale utilizza il protocollo HTTP sulla porta 9099 sul nodo che ospita
apigee-sso, il modulo SSO perimetrale. Integrata in apigee-sso è un'istanza Tomcat che gestisce le richieste HTTP e HTTPS.
Edge SSO e Tomcat supportano tre modalità di connessione:
- PREDEFINITA - La configurazione predefinita supporta le richieste HTTP sulla porta 9099.
- SSL_TERMINATION: consente l'accesso TLS a Edge SSO sulla porta che preferisci. Devi specificare una chiave e un certificato TLS per questa modalità.
- SSL_PROXY: configura il servizio SSO perimetrale in modalità proxy, il che significa che hai installato un
bilanciatore del carico davanti a
apigee-ssoe ha terminato TLS sul bilanciatore del carico. Puoi specificare la porta utilizzata suapigee-ssoper le richieste provenienti dal bilanciatore del carico.
Attiva il supporto SAML per il portale
Dopo aver abilitato il supporto SAML per Edge, puoi facoltativamente abilitare SAML per il portale Apigee Developer Services (o semplicemente il portale). Il portale supporta l'autenticazione SAML quando si effettuano richieste a Edge. Tieni presente che si tratta di un'autenticazione diversa dall'autenticazione SAML per l'accesso degli sviluppatori al portale. L'autenticazione SAML per l'accesso come sviluppatore viene configurata separatamente. Per saperne di più, consulta Configurazione del portale per l'utilizzo di SAML per comunicare con Edge.
Durante la configurazione del portale, devi specificare l'URL del modulo SSO perimetrale che hai installato con Edge:
