نظرة عامة على مصادقة موفِّر الهوية (idP) الخارجي

تعمل واجهة مستخدم Edge وEdge management API من خلال تقديم طلبات إلى خادم إدارة Edge، حيث يتيح خادم الإدارة أنواع المصادقة التالية:

  • المصادقة الأساسية: سجِّل الدخول إلى واجهة مستخدم Edge أو قدم طلبات إلى إدارة Edge API من خلال إدخال اسم المستخدم وكلمة المرور.
  • OAuth2: تبادل بيانات اعتماد مصادقة Edge Basic للوصول إلى OAuth2 الرمز المميز وإعادة التحميل. إجراء اتصالات بواجهة برمجة تطبيقات إدارة Edge من خلال تمرير وصول OAuth2 في عنوان الحامل الخاص بطلب بيانات من واجهة برمجة التطبيقات.

يتيح Edge استخدام موفِّري الهوية (idP) الخارجيين التالين للمصادقة:

  • لغة ترميز تأكيد الأمان (SAML) 2.0: إنشاء إمكانية الوصول عبر OAuth إلى ما يلي من تأكيدات SAML التي يعرضها موفّر هوية SAML.
  • البروتوكول الخفيف لتغيير بيانات الدليل (LDAP): يستخدم بحث LDAP والربط أو طرق مصادقة ملزمة بسيطة لإنشاء رموز دخول OAuth.

يتيح كل من موفِّري الهوية عبر SAML وLDAP بيئة تسجيل دخول موحّد. باستخدام موفِّر هوية (idP) خارجي مع Edge، يمكنك توفير خدمة الدخول الموحّد (SSO) لواجهة مستخدم Edge وواجهة برمجة التطبيقات (API) بالإضافة إلى أي خدمات أخرى التي توفِّرها وتدعم أيضًا موفِّر الهوية (idP) الخارجي.

تختلف التعليمات الواردة في هذا القسم لإتاحة التوافق مع موفِّر الهوية (idP) الخارجي عن المصادقة الخارجية في الطرق التالية:

  • يتيح هذا القسم إمكانية استخدام "الدخول الموحّد" (SSO).
  • هذا القسم مخصص لمستخدمي واجهة مستخدم Edge (وليس واجهة المستخدم الكلاسيكية)
  • لا يتوفر هذا القسم إلا على الإصدار 4.19.06 والإصدارات الأحدث

لمحة عن الدخول المُوحَّد (SSO) في Apigee

للتوافق مع SAML أو LDAP على Edge، عليك تثبيت apigee-sso، وهي وحدة الدخول المُوحَّد (SSO) في Apigee. تعرض الصورة التالية الدخول الموحّد في Apigee في متصفّح Edge for Private Cloud لتثبيته:

استخدام المنفذ في Apigee

يمكنك تثبيت وحدة الدخول المُوحَّد (SSO) في Apigee على نفس العقدة مع واجهة مستخدم Edge وخادم الإدارة، أو على الجزء الخاص بها. تأكَّد من إمكانية وصول ApigeeSSO إلى خادم الإدارة عبر المنفذ 8080.

يجب فتح المنفذ 9099 في عقدة خدمة الدخول المُوحَّد (SSO) في Apigee لإتاحة الوصول إلى خدمة Apigee من المتصفّح. من موفِّر الهوية (idP) المستنِد إلى SAML أو LDAP الخارجي، ومن واجهة مستخدم Edge وخادم الإدارة. وكجزء من عملية تكوين الدخول الموحَّد (SSO) في Apigee، يمكنك تحديد أن الاتصال الخارجي يستخدم HTTP أو بروتوكول HTTPS المشفّر. والبروتوكول.

يستخدم ApigeeSSO قاعدة بيانات Postgres يمكن الوصول إليها من خلال المنفذ 5432 على عقدة Postgres. أنت عادةً يمكنه استخدام خادم Postgres نفسه الذي ثبَّته مع Edge، إما خادم Postgres مستقل خادم أو خادمين من خوادم Postgres تمت تهيئتهما في وضع رئيسي/وضع الاستعداد. إذا كان التحميل على Postgres الخادم مرتفع، يمكنك أيضًا اختيار إنشاء عقدة Postgres منفصلة لتسجيل الدخول المُوحَّد (SSO) في Apigee فقط.

تمت إضافة دعم OAuth2 إلى Edge for Private Cloud.

كما ذكرنا أعلاه، يعتمد تنفيذ Edge لـ SAML على رموز الدخول OAuth2. تمت إضافة دعم OAuth2 إلى Edge for Private Cloud. لمزيد من المعلومات، يُرجى مراجعة مقدّمة عن OAuth 2.0.

لمحة عن SAML

تقدم مصادقة SAML العديد من المزايا. باستخدام SAML، يمكنك إجراء ما يلي:

  • يمكنك التحكّم بشكلٍ كامل في إدارة المستخدمين. عندما يغادر المستخدمون مؤسستك تم إلغاء الإذن بالوصول مركزيًا، يتم منعهم تلقائيًا من الوصول إلى Edge.
  • التحكُّم في كيفية مصادقة المستخدمين للوصول إلى Edge يمكنك اختيار طرق مصادقة مختلفة المختلفة لمؤسسات Edge المختلفة.
  • التحكم في سياسات المصادقة. قد يوفّر موفِّر SAML سياسات المصادقة التي تتوافق بشكل أكبر مع معايير مؤسستك
  • يمكنك مراقبة عمليات تسجيل الدخول، وعمليات تسجيل الخروج، ومحاولات تسجيل الدخول غير الناجحة، والأنشطة عالية الخطورة على نشر Edge.

عند تفعيل SAML، يتم الوصول إلى واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge باستخدام رموز الدخول OAuth2. يتم إنشاء هذه الرموز المميّزة بواسطة وحدة الدخول الموحّد في Apigee التي تقبل تأكيدات SAML التي تعرضها موفِّر الهوية (idP).

بعد إنشاء رمز OAuth من تأكيد SAML، يكون صالحًا لمدة 30 دقيقة وإعادة التحميل يكون الرمز صالحًا لمدة 24 ساعة. قد تدعم بيئة التطوير أتمتة المهام الشائعة مثل اختبار التشغيل الآلي أو التكامل المستمر أو النشر المستمر (CI/CD)، التي تتطلّب رموزًا مميزة ذات مدة أطول. عرض استخدام SAML مع المهام التلقائية للحصول على معلومات عن إنشاء رموز مميزة خاصة للمهام التلقائية.

حول LDAP

البروتوكول الخفيف لتغيير بيانات الدليل (LDAP) هو تطبيق مفتوح يتوافق مع معايير الصناعة. للوصول إلى خدمات معلومات الدليل الموزعة وصيانتها. الدليل أي مجموعة منظمة من السجلات، وغالبًا ما تكون بهيكل هرمي، مثل دليل البريد الإلكتروني للشركة.

تستخدم مصادقة LDAP ضمن Apigee خدمة "الدخول الموحّد" (SSO) وحدة Spring Security LDAP. وبالتالي، طرق المصادقة وخيارات الإعداد لدعم LDAP في Apigee بشكل مباشر ذات صلة بتلك الموجودة في Spring Security LDAP.

يدعم LDAP مع Edge for the Private Cloud طرق المصادقة التالية مقابل الخادم المتوافق مع LDAP:

  • البحث والربط (الربط غير المباشر)
  • الارتباط البسيط (ربط مباشر)

يحاول الدخول المُوحَّد (SSO) في Apigee استرداد عنوان البريد الإلكتروني للمستخدم وتعديل سجلّ المستخدم الداخلي بها، كي يكون هناك عنوان بريد إلكتروني حالي مسجَّل، لأنّ متصفّح Edge يستخدم هذا البريد الإلكتروني للحصول على إذن. الأهداف.

واجهة مستخدم Edge وعناوين URL لواجهة برمجة التطبيقات

عنوان URL الذي تستخدمه للوصول إلى واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge هو نفسه المستخدم من قبل تفعيل SAML أو LDAP. بالنسبة إلى واجهة مستخدم Edge:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

حيث edge_UI_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات للجهاز لاستضافة واجهة مستخدم Edge. كجزء من تهيئة واجهة مستخدم Edge، يمكنك تحديد أن الاتصال يستخدم HTTP أو بروتوكول HTTPS المشفر.

بالنسبة إلى واجهة برمجة تطبيقات إدارة Edge:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

حيث ms_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات للإدارة الخادم. كجزء من تهيئة واجهة برمجة التطبيقات، يمكنك تحديد أن الاتصال يستخدم HTTP أو بروتوكول HTTPS المشفر.

ضبط بروتوكول أمان طبقة النقل (TLS) في الدخول المُوحَّد (SSO) في Apigee

بشكل تلقائي، يستخدم الاتصال بتسجيل الدخول الأحادي (SSO) في Apigee بروتوكول HTTP عبر المنفذ 9099 في الجزء المضيف للعقدة apigee-sso، وحدة الدخول المُوحَّد (SSO) في Apigee تم تضمين رمز Tomcat في "apigee-sso" مثيل معالجة طلبات HTTP وHTTPS.

توفِّر خدمة الدخول المُوحَّد (SSO) في Apigee وTomcat ثلاثة أوضاع للاتصال:

  • تلقائي: تتوافق الإعدادات التلقائية مع طلبات HTTP على المنفذ. 9099.
  • SSL_TERMINATION: تم تفعيل وصول "بروتوكول أمان طبقة النقل" (TLS) إلى ApigeeSSO على منفذ خِيَار. يجب تحديد مفتاح بروتوكول أمان طبقة النقل وشهادة لهذا الوضع.
  • SSL_PROXY: لضبط الدخول الموحّد في Apigee في وضع الخادم الوكيل، ما يعني أنّك ثبَّت جهاز موازنة الحمل أمام apigee-sso وتم إنهاء بروتوكول أمان طبقة النقل (TLS) عند التحميل موازِن. يمكنك تحديد المنفذ المستخدَم في apigee-sso للطلبات من التحميل موازِن.

تفعيل دعم موفِّر الهوية (idP) الخارجي للبوابة

بعد تفعيل التوافق مع موفِّر الهوية (idP) الخارجي لخدمة Edge، يمكنك تفعيله بشكل اختياري لبوابة خدمات مطوّري البرامج في Apigee (أو البوابة). تدعم البوابة مصادقة SAML وLDAP عند تقديم طلبات إلى Edge. لاحظ أن هذا عن مصادقة SAML وLDAP لتسجيل دخول مطور البرامج إلى البوابة. وتضبط إعدادات جهات خارجية مصادقة موفِّر الهوية (idP) لتسجيل الدخول إلى حساب المطوِّر بشكل منفصل. عرض عليك ضبط البوابة لاستخدام موفِّري الهوية (idP) من أجل تنفيذ إجراءات أخرى.

كجزء من إعداد البوابة، عليك تحديد عنوان URL للدخول المُوحَّد (SSO) في Apigee الذي ثبّته باستخدام Edge:

تدفق الطلب/الاستجابة مع الرموز المميزة