Visão geral da autenticação do IdP externo

A interface e a API de gerenciamento de borda operam fazendo solicitações ao servidor de gerenciamento de borda, em que esse servidor aceita os tipos de autenticação a seguir:

  • Autenticação básica:faça login na IU do Edge ou envie solicitações à API Edge Management enviando seu nome de usuário e senha.
  • OAuth2:troque suas credenciais de autenticação básica do Edge por um token de acesso e um token de atualização do OAuth2. Fazer chamadas para a API de gerenciamento de borda transmitindo o token de acesso do OAuth2 no cabeçalho de uma chamada de API.

O Edge oferece suporte ao uso dos seguintes provedores de identidade (IdPs) externos para autenticação:

  • Linguagem de marcação para autorização de segurança (SAML) 2.0:gera acesso OAuth com base nas declarações SAML retornadas por um provedor de identidade SAML.
  • Protocolo leve de acesso a diretórios (LDAP): use os métodos de autenticação de pesquisa e vinculação simples ou do LDAP para gerar tokens de acesso OAuth.

Os IdPs SAML e LDAP são compatíveis com um ambiente de Logon único (SSO). Ao usar um IdP externo com o Edge, é possível aceitar o SSO para a IU e a API do Edge, além de todos os outros serviços que você fornecer e que também oferecem suporte ao IdP externo.

As instruções nesta seção para ativar o suporte ao IdP externo são diferentes da Autenticação externa das seguintes maneiras:

  • Esta seção adiciona suporte ao SSO
  • Esta seção é destinada a usuários da interface do Edge, não da interface clássica.
  • Esta seção tem suporte apenas na versão 4.19.06 e mais recentes.

Sobre o SSO da Apigee

Para aceitar SAML ou LDAP no Edge, instale o apigee-sso, o módulo SSO da Apigee. A imagem a seguir mostra o SSO da Apigee em um Edge para instalação de nuvem privada:

Uso de portas para o SSO da Apigee

É possível instalar o módulo SSO da Apigee no mesmo nó da IU e do servidor de gerenciamento do Edge ou no próprio nó. Verifique se o SSO da Apigee tem acesso ao servidor de gerenciamento pela porta 8080.

A porta 9099 precisa estar aberta no nó SSO da Apigee para aceitar o acesso ao SSO da Apigee em um navegador, no IdP externo de SAML ou LDAP e na interface do servidor de gerenciamento e da borda. Como parte da configuração do SSO da Apigee, é possível especificar que a conexão externa usa HTTP ou o protocolo HTTPS criptografado.

O SSO da Apigee usa um banco de dados do Postgres, acessível na porta 5432 no nó do Postgres. Normalmente, é possível usar o mesmo servidor Postgres instalado com o Edge, um servidor Postgres autônomo ou dois servidores Postgres configurados no modo mestre/de espera. Se a carga no servidor Postgres for alta, crie um nó do Postgres separado apenas para o SSO da Apigee.

Suporte adicionado para OAuth2 ao Edge para nuvem privada

Como mencionado acima, a implementação do Edge para SAML depende de tokens de acesso OAuth2.Portanto, o suporte a OAuth2 foi adicionado ao Edge para nuvem privada. Para mais informações, consulte a Introdução ao OAuth 2.0.

Sobre o SAML

A autenticação SAML oferece várias vantagens. Ao usar a SAML, você pode:

  • Assuma o controle total do gerenciamento de usuários. Quando os usuários saem da organização e são desprovisionados centralmente, o acesso ao Edge é automaticamente negado.
  • Controle como os usuários fazem a autenticação para acessar o Edge. É possível escolher diferentes tipos de autenticação para diferentes organizações do Edge.
  • Controle as políticas de autenticação. Seu provedor de SAML pode oferecer suporte a políticas de autenticação que estão mais de acordo com os padrões da sua empresa.
  • É possível monitorar logins, logouts, tentativas de login malsucedidas e atividades de alto risco na implantação do Edge.

Com o SAML ativado, o acesso à IU do Edge e à API Edge Management usa tokens de acesso do OAuth2. Esses tokens são gerados pelo módulo SSO da Apigee, que aceita declarações SAML retornadas pelo IDP.

Depois de gerado com uma declaração SAML, o token OAuth é válido por 30 minutos e o token de atualização é válido por 24 horas. Seu ambiente de desenvolvimento pode oferecer suporte à automação de tarefas comuns de desenvolvimento, como automação de teste ou integração/implantação contínua (CI/CD), que exigem tokens de duração mais longa. Consulte Como usar SAML com tarefas automatizadas para informações sobre a criação de tokens especiais para tarefas automatizadas.

Sobre o LDAP

O protocolo leve de acesso a diretórios (LDAP) é um protocolo de aplicativo aberto e padrão do setor para acessar e manter serviços de informações de diretório distribuídos. Os serviços de diretório podem fornecer qualquer conjunto organizado de registros, geralmente com uma estrutura hierárquica, como um diretório de e-mail corporativo.

A autenticação LDAP no SSO da Apigee usa o módulo LDAP do Spring Security. Como resultado, os métodos de autenticação e as opções de configuração para suporte LDAP do SSO da Apigee estão diretamente correlacionados aos encontrados no LDAP do Spring Security.

O LDAP com Edge para a nuvem privada aceita os seguintes métodos de autenticação em um servidor compatível com LDAP:

  • Pesquisa e vinculação (vinculação indireta)
  • Vinculação simples (vinculação direta)

O SSO da Apigee tenta recuperar o endereço de e-mail do usuário e atualizar o registro interno do usuário com ele para que haja um endereço de e-mail atual registrado, já que o Edge usa esse e-mail para fins de autorização.

URLs da interface e da API do Edge

O URL usado para acessar a IU do Edge e a API Edge Management é o mesmo usado antes de ativar o SAML ou o LDAP. Para a interface do usuário do Edge:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

Em que edge_UI_IP_DNS é o endereço IP ou nome DNS da máquina que hospeda a IU do Edge. Como parte da configuração da IU do Edge, é possível especificar que a conexão use HTTP ou o protocolo HTTPS criptografado.

Para a API Edge Management:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

em que ms_IP_DNS é o endereço IP ou nome DNS do servidor de gerenciamento. Como parte da configuração da API, você pode especificar que a conexão use HTTP ou o protocolo HTTPS criptografado.

Configurar o TLS no SSO da Apigee

Por padrão, a conexão com o SSO da Apigee usa HTTP pela porta 9099 no nó que hospeda apigee-sso, o módulo de SSO da Apigee. A instância do Tomcat está integrada ao apigee-sso e processa as solicitações HTTP e HTTPS.

O SSO da Apigee e o Tomcat são compatíveis com três modos de conexão:

  • DEFAULT:a configuração padrão é compatível com solicitações HTTP na porta 9099.
  • SSL_TERMINATION::foi ativado o acesso TLS ao SSO da Apigee na porta de sua escolha. É necessário especificar uma chave e um certificado TLS para este modo.
  • SSL_PROXY::configura o SSO da Apigee no modo de proxy, o que significa que você instalou um balanceador de carga na frente do apigee-sso e encerrou o TLS no balanceador de carga. É possível especificar a porta usada em apigee-sso para solicitações do balanceador de carga.

Ativar o suporte ao IdP externo no portal

Depois de ativar o suporte de IdP externo para o Edge, você terá a opção de ativá-lo para o portal de serviços para desenvolvedores da Apigee (ou simplesmente o portal). O portal oferece suporte à autenticação SAML e LDAP ao fazer solicitações para o Edge. Ela é diferente da autenticação SAML e LDAP para login de desenvolvedor no portal. Você configura a autenticação do IdP externo para o login de desenvolvedor separadamente. Para mais informações, consulte Configurar o portal para usar IdPs.

Como parte da configuração do portal, especifique o URL do módulo SSO da Apigee que você instalou com o Edge:

Fluxo de solicitação/resposta com tokens