การสนับสนุน SAML บน Edge สําหรับ Private Cloud

Edge for Private Cloud v4.19.01

Edge UI และ Edge Management API จะทำงานด้วยการส่งคำขอไปยังเซิร์ฟเวอร์การจัดการ Edge โดยที่เซิร์ฟเวอร์การจัดการรองรับการตรวจสอบสิทธิ์ประเภทต่อไปนี้

  • การตรวจสอบสิทธิ์พื้นฐาน เข้าสู่ระบบ Edge UI หรือส่งคำขอไปยังการจัดการ Edge API โดยการส่งชื่อผู้ใช้และรหัสผ่านของคุณ
  • OAuth2 แลกเปลี่ยนข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์ Edge Basic สำหรับการเข้าถึง OAuth2 และโทเค็นการรีเฟรช เรียก Edge Management API โดยส่งผ่านการเข้าถึง OAuth2 ในส่วนหัว Bearer ของการเรียก API

Edge ยังรองรับการตรวจสอบสิทธิ์ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) 2.0 ด้วย Google Analytics เมื่อเปิดใช้ SAML แล้ว การเข้าถึง Edge UI และ Edge Management API จะยังคงใช้ OAuth2 โทเค็นเพื่อการเข้าถึง แต่ตอนนี้คุณสามารถสร้างโทเค็นเหล่านี้จากการยืนยัน SAML ที่ส่งคืนโดย SAML ผู้ให้บริการข้อมูลประจำตัว

SAML รองรับระบบการลงชื่อเพียงครั้งเดียว (SSO) เมื่อใช้ SAML กับ Edge คุณจะรองรับ SSO ได้ สำหรับ Edge UI และ API นอกเหนือจากบริการ อื่นๆ ที่คุณจัดหาให้ และที่สนับสนุน SAML

เพิ่มการรองรับ OAuth2 ไปยัง Edge สำหรับ Private Cloud แล้ว

ดังที่กล่าวไว้ข้างต้น การใช้งาน Edge ของ SAML จะต้องอาศัยโทเค็นเพื่อการเข้าถึง OAuth2 เพิ่มการรองรับ OAuth2 ไปยัง Edge สำหรับ Private Cloud แล้ว สำหรับข้อมูลเพิ่มเติม โปรดดู ข้อมูลเบื้องต้นเกี่ยวกับ OAuth 2.0

ข้อดีของ SAML

การตรวจสอบสิทธิ์ SAML มีข้อดีหลายอย่าง เมื่อใช้ SAML คุณจะทำสิ่งต่อไปนี้ได้

  • ควบคุมการจัดการผู้ใช้ได้อย่างเต็มที่ เมื่อผู้ใช้ออกจากองค์กรและ ถูกยกเลิกการจัดสรรจากส่วนกลาง บุคคลเหล่านี้จะถูกปฏิเสธไม่ให้เข้าถึง Edge โดยอัตโนมัติ
  • ควบคุมวิธีที่ผู้ใช้ตรวจสอบสิทธิ์ในการเข้าถึง Edge คุณเลือกการตรวจสอบสิทธิ์แบบอื่นได้ ประเภทสำหรับองค์กร Edge ต่างๆ
  • ควบคุมนโยบายการตรวจสอบสิทธิ์ ผู้ให้บริการ SAML อาจรองรับนโยบายการตรวจสอบสิทธิ์ ที่สอดคล้องกับมาตรฐานองค์กรของคุณมากขึ้น
  • คุณสามารถตรวจสอบการเข้าสู่ระบบ การออกจากระบบ ความพยายามเข้าสู่ระบบที่ไม่สำเร็จ และกิจกรรมที่มีความเสี่ยงสูงได้ใน การทำให้ Edge ใช้งานได้

การใช้ SAML กับ Edge

หากต้องการรองรับ SAML ใน Edge ให้ติดตั้ง apigee-sso ซึ่งเป็นโมดูล SSO ของ Edge อิมเมจต่อไปนี้แสดง Edge SSO ใน Edge สำหรับการติดตั้ง Private Cloud

คุณจะติดตั้งโมดูล Edge SSO ในโหนดเดียวกันกับ Edge UI และเซิร์ฟเวอร์การจัดการ หรือ ในโหนดของตัวเอง ตรวจสอบว่า Edge SSO มีสิทธิ์เข้าถึงเซิร์ฟเวอร์การจัดการผ่านพอร์ต 8080

ต้องเปิดพอร์ต 9099 บนโหนด Edge SSO เพื่อให้รองรับการเข้าถึง Edge SSO จากเบราว์เซอร์ จาก SAML IDP ภายนอก และจากเซิร์ฟเวอร์การจัดการและ Edge UI ขั้นตอนการกำหนดค่า Edge SSO คุณจะระบุได้ว่าการเชื่อมต่อภายนอกใช้ HTTP หรือ HTTPS ที่เข้ารหัส

Edge SSO ใช้ฐานข้อมูล Postgres ที่เข้าถึงได้บนพอร์ต 5432 บนโหนด Postgres ปกติแล้วคุณ ใช้เซิร์ฟเวอร์ Postgres เดียวกับที่คุณติดตั้งกับ Edge ได้ ไม่ว่าจะเป็น Postgres แบบสแตนด์อโลน หรือเซิร์ฟเวอร์ Postgres สองเครื่องที่กำหนดค่าในโหมดหลัก/สแตนด์บาย ถ้าการโหลดใน Postgres เซิร์ฟเวอร์อยู่ในระดับสูง คุณยังเลือกสร้างโหนด Postgres แยกต่างหากสำหรับ EDGE SSO โดยเฉพาะได้

เมื่อเปิดใช้ SAML แล้ว การเข้าถึง Edge UI และ Edge Management API จะใช้โทเค็นเพื่อการเข้าถึง OAuth2 โทเค็นเหล่านี้สร้างขึ้นโดยโมดูล Edge SSO ซึ่งจะยอมรับการยืนยัน SAML ที่แสดงผลโดย IDP ของคุณ

เมื่อสร้างจากการยืนยัน SAML แล้ว โทเค็น OAuth จะใช้ได้เป็นเวลา 30 นาทีและการรีเฟรช โทเค็นมีอายุ 24 ชั่วโมง สภาพแวดล้อมในการพัฒนาซอฟต์แวร์ของคุณอาจรองรับการทำงานอัตโนมัติสำหรับการ งานการพัฒนา เช่น การทดสอบระบบอัตโนมัติหรือการผสานรวมแบบต่อเนื่อง/การทำให้ใช้งานได้อย่างต่อเนื่อง (CI/CD) ซึ่งต้องใช้โทเค็นซึ่งมีระยะเวลานานกว่า โปรดดู การใช้ SAML กับงานอัตโนมัติเพื่อดูข้อมูลเกี่ยวกับ การสร้างโทเค็นพิเศษสำหรับงานอัตโนมัติ

Edge UI และ URL ของ API

URL ที่คุณใช้เข้าถึง Edge UI และ Edge Management API เป็น URL เดียวกันกับที่ใช้ก่อนหน้านี้ เปิดใช้ SAML แล้ว สำหรับ Edge UI

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

โดยที่ edge_ui_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของเครื่อง การโฮสต์ Edge UI ในการกำหนดค่า Edge UI คุณระบุให้การเชื่อมต่อใช้ HTTP หรือโปรโตคอล HTTPS ที่เข้ารหัส

สำหรับ Edge Management API

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

โดยที่ ms_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของการจัดการ เซิร์ฟเวอร์ ในการกำหนดค่า API คุณสามารถระบุว่าการเชื่อมต่อใช้ HTTP หรือ โปรโตคอล HTTPS ที่เข้ารหัส

กำหนดค่า TLS ใน EDGE SSO

โดยค่าเริ่มต้น การเชื่อมต่อกับ Edge SSO จะใช้ HTTP ผ่านพอร์ต 9099 ในการโฮสต์โหนด apigee-sso, โมดูล Edge SSO ที่มีอยู่แล้วใน apigee-sso เป็นทอมแคต ที่จัดการคำขอ HTTP และ HTTPS

Edge SSO และ Tomcat รองรับโหมดการเชื่อมต่อ 3 โหมด ดังนี้

  • ค่าเริ่มต้น - การกำหนดค่าเริ่มต้นรองรับคำขอ HTTP บนพอร์ต 9099
  • SSL_TERMINATION - เปิดใช้การเข้าถึง TLS ของ Edge SSO บนพอร์ตของ คุณต้องระบุคีย์ TLS และใบรับรองสำหรับโหมดนี้
  • SSL_PROXY - กำหนดค่า Edge SSO ในโหมดพร็อกซี ซึ่งหมายความว่าคุณได้ติดตั้ง ตัวจัดสรรภาระงานที่ด้านหน้าของ apigee-sso และสิ้นสุด TLS บนโหลด บาลานเซอร์ คุณระบุพอร์ตที่ใช้ใน apigee-sso สำหรับคำขอจากการโหลดได้ บาลานเซอร์

เปิดใช้การรองรับ SAML สำหรับพอร์ทัล

หลังจากเปิดใช้การสนับสนุน SAML สำหรับ Edge แล้ว คุณจะเลือกเปิดใช้ SAML สำหรับพอร์ทัล Apigee Developer Services (หรือเรียกง่ายๆ ว่าพอร์ทัลก็ได้) พอร์ทัลรองรับการตรวจสอบสิทธิ์ SAML เมื่อส่งคำขอไปยัง Edge โปรดทราบว่านี่คือ ซึ่งแตกต่างจากการตรวจสอบสิทธิ์ SAML สำหรับการเข้าสู่ระบบของนักพัฒนาซอฟต์แวร์ในพอร์ทัล คุณกำหนดค่า SAML สำหรับการเข้าสู่ระบบของนักพัฒนาซอฟต์แวร์แยกต่างหาก โปรดดู การกำหนดค่าพารามิเตอร์ พอร์ทัลสำหรับใช้ SAML เพื่อสื่อสารกับ Edge เพิ่มเติม

คุณต้องระบุ URL ของ Edge SSO ในการกำหนดค่าพอร์ทัล โมดูลที่คุณติดตั้งด้วย Edge: