Obsługa SAML w Edge dla chmury prywatnej

Edge for Private Cloud w wersji 4.19.01

Interfejs użytkownika Edge i interfejs Edge Management API działają przez wysyłanie żądań do serwera zarządzania brzegowymi, przy czym serwer zarządzania obsługuje te typy uwierzytelniania:

  • Uwierzytelnianie podstawowe Zaloguj się w interfejsie użytkownika Edge lub wysyłaj żądania do interfejsu Edge Management API, przekazując swoją nazwę użytkownika i hasło.
  • OAuth2 Wymień swoje dane uwierzytelniające podstawowego uwierzytelniania Edge na token dostępu OAuth2 i token odświeżania. Możesz wykonywać wywołania interfejsu Edge Management API, przekazując token dostępu OAuth2 w nagłówku okaziciela wywołania interfejsu API.

Edge obsługuje też mechanizm uwierzytelniania Security Assertion Markup Language (SAML) 2.0. Po włączeniu SAML dostęp do interfejsu użytkownika Edge i interfejsu Edge Management API nadal używa tokenów dostępu OAuth2. Teraz można jednak generować te tokeny na podstawie potwierdzeń SAML zwracanych przez dostawcę tożsamości SAML.

SAML obsługuje środowisko logowania jednokrotnego. Używając SAML w przeglądarce Edge, możesz obsługiwać logowanie jednokrotne w interfejsie użytkownika Edge i interfejsie API, a także wszelkich innych udostępnianych przez Ciebie usługach, które również obsługują SAML.

Dodano obsługę OAuth2 do Edge dla Private Cloud

Jak już wspomnieliśmy, implementacja brzegowa SAML korzysta z tokenów dostępu OAuth2.Dlatego dodaliśmy obsługę protokołu OAuth2 do Edge dla chmury Private Cloud. Więcej informacji znajdziesz w artykule Wprowadzenie do protokołu OAuth 2.0.

Zalety SAML

Uwierzytelnianie SAML ma kilka zalet. Dzięki SAML możesz:

  • Przejmij pełną kontrolę nad zarządzaniem użytkownikami. Gdy użytkownicy opuszczą organizację i zostaną wyrejestrowane centralnie, automatycznie utracą dostęp do Edge.
  • Kontroluj sposób uwierzytelniania użytkowników, aby uzyskać dostęp do Edge. Możesz wybrać różne typy uwierzytelniania dla różnych organizacji Edge.
  • Kontroluj zasady uwierzytelniania. Dostawca SAML może obsługiwać zasady uwierzytelniania bardziej zgodne ze standardami Twojej firmy.
  • Możesz monitorować logowania, wylogowania, nieudane próby logowania i aktywności wysokiego ryzyka we wdrożeniu brzegowym.

Używanie SAML z Edge

Aby zapewnić obsługę SAML w przeglądarce Edge, musisz zainstalować moduł apigee-sso, moduł logowania jednokrotnego w przeglądarce Edge. Poniższy obraz przedstawia instalację logowania jednokrotnego na serwerach brzegowych w Edge for Private Cloud:

Moduł logowania jednokrotnego na serwerach brzegowych możesz zainstalować w tym samym węźle, w którym znajduje się interfejs użytkownika Edge i serwer zarządzania, lub w jego własnym węźle. Sprawdź, czy logowanie jednokrotne na serwerach brzegowych ma dostęp do serwera zarządzania przez port 8080.

Port 9099 musi być otwarty w węźle logowania jednokrotnego na serwerach brzegowych, aby obsługiwać dostęp do logowania jednokrotnego na serwerach brzegowych z przeglądarki, z zewnętrznego dostawcy tożsamości SAML oraz z interfejsu zarządzania serwerem i interfejsem Edge. W ramach konfigurowania logowania jednokrotnego na serwerach brzegowych możesz określić, czy połączenie zewnętrzne używa protokołu HTTP lub szyfrowanego protokołu HTTPS.

Logowanie jednokrotne na serwerach brzegowych korzysta z bazy danych Postgres dostępnej przez port 5432 w węźle Postgres. Zwykle można użyć tego samego serwera Postgres, który został zainstalowany w Edge, jako samodzielnego serwera Postgres lub dwóch serwerów Postgres skonfigurowanych w trybie mastera/gotowości. Jeśli obciążenie serwera Postgres jest wysokie, możesz też utworzyć oddzielny węzeł Postgres tylko na potrzeby logowania jednokrotnego na serwerach brzegowych.

Gdy protokół SAML jest włączony, dostęp do interfejsu użytkownika Edge i interfejsu Edge Management API używa tokenów dostępu OAuth2. Te tokeny są generowane przez moduł Edge SSO, który akceptuje potwierdzenia SAML zwrócone przez dostawcę tożsamości.

Token OAuth wygenerowany na podstawie potwierdzenia SAML jest ważny przez 30 minut, a token odświeżania – przez 24 godziny. Twoje środowisko programistyczne może obsługiwać automatyzację w przypadku typowych zadań programistycznych, takich jak automatyzacja testów lub ciągła integracja/ciągłe wdrażanie (CI/CD), które wymagają tokenów o dłuższym czasie trwania. Informacje o tworzeniu tokenów specjalnych na potrzeby zadań automatycznych znajdziesz w artykule o używaniu SAML z zadaniami automatycznymi.

Adresy URL interfejsu Edge i API

Adres URL używany do uzyskiwania dostępu do interfejsu Edge i interfejsu Edge Management API jest taki sam jak przed włączeniem SAML. W interfejsie użytkownika Edge:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

gdzie edge_ui_IP_DNS to adres IP lub nazwa DNS maszyny hostującej interfejs Edge. W ramach konfigurowania interfejsu użytkownika Edge możesz określić, czy połączenie używa protokołu HTTP lub szyfrowanego protokołu HTTPS.

W przypadku interfejsu Edge Management API:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

gdzie ms_IP_DNS to adres IP lub nazwa DNS serwera zarządzania. Podczas konfigurowania interfejsu API możesz określić, czy połączenie używa protokołu HTTP, czy szyfrowanego protokołu HTTPS.

Konfigurowanie logowania jednokrotnego TLS w przeglądarce Edge

Domyślnie połączenie z logowaniem jednokrotnym na serwerach brzegowych używa portu HTTP przez port 9099 w węźle hostującym apigee-sso, czyli module logowania jednokrotnego na serwerach brzegowych. Wbudowana w apigee-sso instancja Tomcat obsługuje żądania HTTP i HTTPS.

Logowanie jednokrotne na serwerach brzegowych i Tomcat obsługują 3 tryby połączenia:

  • DEFAULT – domyślna konfiguracja obsługuje żądania HTTP na porcie 9099.
  • SSL_TERMINATION – na wybranym porcie włączono dostęp TLS do logowania jednokrotnego na serwerach brzegowych. W tym trybie musisz określić klucz TLS i certyfikat.
  • SSL_PROXY – konfiguruje logowanie jednokrotne na serwerach brzegowych w trybie serwera proxy, co oznacza, że został zainstalowany system równoważenia obciążenia przed apigee-sso i zakończony protokół TLS w systemie równoważenia obciążenia. Możesz określić port używany w apigee-sso na potrzeby żądań wysyłanych z systemu równoważenia obciążenia.

Włącz obsługę SAML w portalu

Po włączeniu obsługi SAML w Edge możesz włączyć SAML dla portalu usług dla programistów Apigee (lub po prostu portalu). Portal obsługuje uwierzytelnianie SAML podczas wysyłania żądań do Edge. Zwróć uwagę, że różni się to od uwierzytelniania SAML na potrzeby logowania programisty w portalu. Uwierzytelnianie SAML na potrzeby logowania programisty konfiguruje się osobno. Więcej informacji znajdziesz w artykule o konfigurowaniu portalu do komunikowania się z Edge przy użyciu SAML.

Podczas konfigurowania portalu musisz podać adres URL modułu logowania jednokrotnego na serwerach brzegowych zainstalowanego w Edge: