Private Cloud için Edge'de SAML'yi destekleme

Edge for Private Cloud 4.19.01 sürümü

Edge UI ve Edge management API, uç Yönetim Sunucusu'na istek göndererek çalışır. Yönetim Sunucusu aşağıdaki kimlik doğrulama türlerini destekler:

  • Temel Kimlik Doğrulama: Edge kullanıcı arayüzüne giriş yapın veya Edge yönetimine istek gönderin API'yi kullanabilirsiniz.
  • OAuth2 Edge Basic Auth kimlik bilgilerinizi OAuth2 erişimi için değiştirin jetonu ve yenileme jetonu bulunur. OAuth2 erişimini ileterek Edge management API'ye çağrı yapma çağrısının hamiline ait başlığında eklenmesi gerekir.

Edge, kimlik doğrulama olarak Güvenlik Onayı Biçimlendirme Dili (SAML) 2.0'ı da destekler. mekanizmasıdır. SAML etkin olduğunda Edge kullanıcı arayüzü ve Edge management API'ye erişim yine de OAuth2'yi kullanır erişim jetonlarıdır. Ancak artık bu jetonları SAML tarafından döndürülen SAML onaylarından oluşturabilirsiniz kimlik sağlayıcı

SAML, tek oturum açma (TOA) ortamını destekler. Edge ile SAML kullanarak TOA'yı destekleyebilirsiniz ve uç noktanızı destekleyen diğer hizmetlere ek olarak Edge Kullanıcı Arayüzü ve API için SAML'yi tıklayın.

Private Cloud için Edge'e OAuth2 desteği eklendi

Yukarıda belirtildiği gibi, SAML'nin Edge uygulaması, OAuth2 erişim jetonlarına dayanır. Private Cloud için Edge'e OAuth2 desteği eklendi. Daha fazla bilgi için bkz. OAuth 2.0'a giriş.

SAML'nin avantajları

SAML kimlik doğrulaması birçok avantaj sunar. SAML kullanarak:

  • Kullanıcı yönetiminin tam kontrolünü elinize alın. Kullanıcıların kuruluşunuzdan ayrılması ve merkezi olarak kaldırılırsa Edge'e erişimleri otomatik olarak reddedilir.
  • Kullanıcıların Edge'e erişmek için nasıl kimlik doğrulaması yaptığını kontrol edin. Farklı kimlik doğrulama yöntemleri seçebilirsiniz farklı türlerde kullanılabiliyor.
  • Kimlik doğrulama politikalarını kontrol etme. SAML sağlayıcınız kimlik doğrulama politikalarını destekliyor olabilir en iyi uygulamaları paylaşacağız.
  • Girişleri, çıkışları, başarısız giriş denemelerini ve yüksek riskli etkinlikleri .

Edge ile SAML'yi Kullanma

Edge'de SAML'yi desteklemek için Edge TOA modülü olan apigee-sso'yi yükleyin. İlgili içeriği oluşturmak için kullanılan aşağıdaki resimde, Private Cloud yüklemesi için bir Edge'de Edge TOA gösterilmektedir:

Uç TOA modülünü, Uç Kullanıcı Arayüzü ve Yönetim Sunucusu ile aynı düğüme yükleyebilirsiniz veya kendi düğümünde oluşturur. Edge TOA'nın, Yönetim Sunucusu'na 8080 numaralı bağlantı noktası üzerinden erişebildiğinden emin olun.

Bir tarayıcıdan Edge TOA'ya erişimin desteklenmesi için 9099 bağlantı noktasının Edge TOA düğümünde açık olması gerekir. harici SAML IdP'den ve Yönetim Sunucusu ve Uç Kullanıcı Arayüzünden alınmalıdır. Bu işlemi yapılandırmanın bir parçası olarak Uç TOA, harici bağlantının HTTP veya şifrelenmiş HTTPS kullanmasını belirtebilirsiniz. protokolü.

Edge TOA, Postgres düğümündeki 5432 numaralı bağlantı noktasından erişilebilen bir Postgres veritabanı kullanır. Tipik olarak Edge ile yüklediğiniz aynı Postgres sunucusunu kullanabilir veya ya da ana/bekleme modunda yapılandırılmış iki Postgres sunucusu içerir. Postgres'inizdeki yük yüksek bir sunucuya sahipse yalnızca Edge TOA için ayrı bir Postgres düğümü oluşturmayı seçebilirsiniz.

SAML etkin olduğunda Edge kullanıcı arayüzü ve Edge management API'ye erişim OAuth2 erişim jetonlarını kullanır. Bu jetonlar, IdP'niz.

SAML onayından oluşturulduktan sonra OAuth jetonu 30 dakika boyunca geçerli olur ve yenileme jeton 24 saat boyunca geçerlidir. Geliştirme ortamınız yaygın olarak kullanılan Test otomasyonu veya Sürekli Entegrasyon/Sürekli Dağıtım gibi geliştirme görevleri (CI/CD) kullanır. Görüntüleyin Otomatik görevler ile SAML'yi kullanma hakkında bilgi için otomatik görevler için özel jetonlar oluşturabilirsiniz.

Edge kullanıcı arayüzü ve API URL'leri

Edge kullanıcı arayüzüne ve Edge management API'ye erişmek için kullandığınız URL daha önce kullanılanla aynıdır SAML'yi etkinleştirdiyseniz. Edge kullanıcı arayüzü için:

http://edge_ui_IP_DNS:9000
https://edge_ui_IP_DNS:9000

Burada edge_ui_IP_DNS, makinenin IP adresi veya DNS adıdır. barındıran bir web sitesidir. Edge kullanıcı arayüzünü yapılandırmanın bir parçası olarak, HTTP veya şifrelenmiş HTTPS protokolü.

Edge management API için:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

Burada ms_IP_DNS; Yönetim'in IP adresi veya DNS adıdır. Sunucu. API'yi yapılandırmanın bir parçası olarak, bağlantının HTTP veya şifrelenmiş HTTPS protokolü kullanır.

Edge TOA'da TLS'yi yapılandırma

Varsayılan olarak Edge TOA bağlantısı, düğüm barındırmakta olan bağlantı noktası 9099 üzerinden HTTP kullanır Edge TOA modülü apigee-sso. apigee-sso binasında bir Tomcat var HTTP ve HTTPS isteklerini işleyen bir örneğidir.

Edge TOA ve Tomcat üç bağlantı modunu destekler:

  • VARSAYILAN: Varsayılan yapılandırma, bağlantı noktasında HTTP isteklerini destekler. 9099.
  • SSL_TERMINATION - seçim. Bu mod için TLS anahtarı ve sertifikası belirtmelisiniz.
  • SSL_PROXY - Proxy modunda Edge TOA'yı yapılandırır, yani bir apigee-sso önünde yük dengeleyici ve yükte feshedilmiş TLS kullanabilirsiniz. apigee-sso üzerinde yükten gelen istekler için kullanılacak bağlantı noktasını belirtebilirsiniz kullanabilirsiniz.

Portal için SAML desteğini etkinleştir

Edge için SAML desteğini etkinleştirdikten sonra isteğe bağlı olarak Apigee Geliştirici Hizmetleri portalı için SAML'yi (veya sadece portala) etkinleştirebilirsiniz. Portal, Edge'e istek gönderirken SAML kimlik doğrulamasını destekler. Not: Geliştiricinin portala girişi için SAML kimlik doğrulamasından farklıdır. SAML'yi siz yapılandırırsınız ayrı olarak kontrol edebilirsiniz. Görüntüleyin daha fazlası için de Edge ile iletişim kurmak üzere SAML'yi kullanabilirsiniz.

Portalı yapılandırmanın bir parçası olarak Edge TOA'nın URL'sini belirtmeniz gerekir. modülünü kullanabilirsiniz: