Edge UI ve Edge Management API'si, Yönetim Sunucusu'nun aşağıdaki kimlik doğrulama türlerini desteklediği Uç Yönetim Sunucusu'na istekte bulunarak çalışır:
- Temel kimlik doğrulama: Edge kullanıcı arayüzüne giriş yapın veya kullanıcı adınızı ve şifrenizi ileterek Edge Management API'ye istek gönderin.
- OAuth2: Edge Basic Auth kimlik bilgilerinizi OAuth2 erişim jetonu ve yenileme jetonu için değiştirin. Bir API çağrısının Taşıyıcı üstbilgisindeki OAuth2 erişim jetonunu ileterek Edge Management API'ye çağrı yapma.
Edge, kimlik doğrulama için aşağıdaki harici Tanımlama Sağlayıcılarının (IdP) kullanılmasını destekler:
- Güvenlik Onayı Biçimlendirme Dili (SAML) 2.0: Bunlara SAML kimlik sağlayıcısı tarafından döndürülen SAML onaylarından OAuth erişimi oluşturun.
- Lightweight Directory Access Protocol (LDAP): OAuth erişim jetonları oluşturmak için LDAP'nin arama ve bağlama veya basit bağlama kimlik doğrulama yöntemlerini kullanın.
Hem SAML hem de LDAP IDP'leri tek oturum açma (TOA) ortamını destekler. Edge ile harici bir IdP kullanarak, sunduğunuz ve harici IDP'nizi destekleyen diğer hizmetlere ek olarak Edge kullanıcı arayüzü ve API için TOA'yı destekleyebilirsiniz.
Harici IdP desteğini etkinleştirmeyle ilgili bu bölümdeki talimatlar, Harici kimlik doğrulama'dan aşağıdaki şekillerde farklıdır:
- Bu bölümde TOA desteği eklendi
- Bu bölüm, Edge kullanıcı arayüzü (Klasik kullanıcı arayüzü değil) kullanıcıları içindir.
- Bu bölüm yalnızca 4.19.06 ve sonraki sürümlerde desteklenir
Apigee TOA hakkında
Edge'de SAML veya LDAP'yi desteklemek için Apigee TOA modülü olan apigee-sso'yi yükleyin.
Aşağıdaki resimde, Private Cloud kurulumu için bir Edge'de Apigee TOA gösterilmektedir:
Apigee TOA modülünü Edge Kullanıcı Arayüzü ve Yönetim Sunucusu ile aynı düğüme veya kendi düğümüne yükleyebilirsiniz. Apigee TOA'nın, Yönetim Sunucusu'na 8080 bağlantı noktası üzerinden erişebildiğinden emin olun.
Tarayıcıdan, harici SAML veya LDAP IDP'den ve Yönetim Sunucusu ve Uç Kullanıcı Arayüzünden Apigee TOA'ya erişimi desteklemek için Apigee TOA düğümünde 9099 bağlantı noktasının açık olması gerekir. Apigee TOA'yı yapılandırmanın bir parçası olarak, harici bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanacağını belirtebilirsiniz.
Apigee TOA, Postgres düğümündeki 5432 numaralı bağlantı noktasında erişilebilen bir Postgres veritabanı kullanır. Tipik olarak Edge ile yüklediğiniz aynı Postgres sunucusunu, ya bağımsız bir Postgres sunucusu ya da ana/bekleme modunda yapılandırılmış iki Postgres sunucusu kullanabilirsiniz. Postgres sunucunuzdaki yük yüksekse yalnızca Apigee TOA için ayrı bir Postgres düğümü oluşturmayı da seçebilirsiniz.
Private Cloud için Edge'e OAuth2 desteği eklendi
Yukarıda belirtildiği gibi, SAML'nin Edge uygulamasında OAuth2 erişim jetonları temel alınır.Bu nedenle, Private Cloud için Edge'e OAuth2 desteği eklenmiştir. Daha fazla bilgi için OAuth 2.0'a giriş başlıklı makaleye göz atın.
SAML hakkında
SAML kimlik doğrulaması çeşitli avantajlar sunar. SAML kullanarak şunları yapabilirsiniz:
- Kullanıcı yönetimi üzerinde tam kontrol sahibi olun. Kuruluşunuzdan ayrılan ve merkezi olarak temel hazırlığı kaldırılan kullanıcıların Edge'e erişimi otomatik olarak engellenir.
- Kullanıcıların Edge'e erişmek için nasıl kimlik doğrulaması yaptığını denetleyin. Farklı Edge kuruluşları için farklı kimlik doğrulama türleri seçebilirsiniz.
- Kimlik doğrulama politikalarını denetleyin. SAML sağlayıcınız, kurumsal standartlarınıza daha uygun olan kimlik doğrulama politikalarını destekleyebilir.
- Edge dağıtımınızdaki giriş ve çıkış işlemlerini, başarısız giriş denemelerini ve yüksek riskli etkinlikleri izleyebilirsiniz.
SAML etkinken, Edge kullanıcı arayüzüne ve Edge yönetim API'sine erişim için OAuth2 erişim jetonları kullanılır. Bu jetonlar, IDP'niz tarafından döndürülen SAML onaylarını kabul eden Apigee TOA modülü tarafından oluşturulur.
Bir SAML onayından oluşturulduktan sonra OAuth jetonu 30 dakika, yenileme jetonu ise 24 saat boyunca geçerlidir. Geliştirme ortamınız, test otomasyonu veya Sürekli Entegrasyon/Sürekli Dağıtım (CI/CD) gibi daha uzun süreli jetonlar gerektiren yaygın geliştirme görevlerinin otomasyonunu destekleyebilir. Otomatik görevler için özel jetonlar oluşturma hakkında bilgi edinmek için SAML'yi otomatik görevlerle kullanma bölümüne bakın.
LDAP Hakkında
Basit Dizin Erişim Protokolü (LDAP), dağıtılmış dizin bilgisi hizmetlerine erişmek ve bu hizmetleri sürdürmek için kullanılan açık ve endüstri standardında bir uygulama protokolüdür. Dizin hizmetleri, genellikle kurumsal bir e-posta dizini gibi hiyerarşik bir yapıya sahip olup düzenli bir kayıt kümesi sağlayabilir.
Apigee TOA'daki LDAP kimlik doğrulaması, Spring Security LDAP modülünü kullanır. Sonuç olarak, Apigee TOA'nın LDAP desteği için kimlik doğrulama yöntemleri ve yapılandırma seçenekleri, Spring Security LDAP'de bulunanlarla doğrudan ilişkilidir.
Private Cloud için Edge özellikli LDAP, LDAP uyumlu bir sunucuya karşı aşağıdaki kimlik doğrulama yöntemlerini destekler:
- Ara ve Bağla (dolaylı bağlama)
- Basit Bağlama (doğrudan bağlama)
Edge, yetkilendirme amacıyla bu e-postayı kullandığından Apigee TOA, kullanıcının e-posta adresini almaya ve dahili kullanıcı kaydını bu adresle güncellemeye çalışır.
Edge kullanıcı arayüzü ve API URL'leri
Edge UI ve Edge Management API'ye erişmek için kullandığınız URL, SAML veya LDAP'yi etkinleştirmeden önce kullanılan URL ile aynıdır. Edge kullanıcı arayüzü için:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
Burada edge_UI_IP_DNS, Edge kullanıcı arayüzünü barındıran makinenin IP adresi veya DNS adıdır. Edge kullanıcı arayüzünü yapılandırmanın bir parçası olarak, bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanmasını belirtebilirsiniz.
Edge Management API için:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Burada ms_IP_DNS, Yönetim Sunucusu'nun IP adresi veya DNS adıdır. API'yi yapılandırmanın bir parçası olarak, bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanmasını belirtebilirsiniz.
Apigee TOA'da TLS'yi yapılandırma
Varsayılan olarak Apigee TOA bağlantısı, Apigee TOA modülü olan apigee-sso adlı düğümde 9099 numaralı bağlantı noktası üzerinden HTTP kullanır. apigee-sso ürününde, HTTP ve HTTPS isteklerini işleyen bir Tomcat örneği yer alır.
Apigee TOA ve Tomcat, üç bağlantı modunu destekler:
- VARSAYILAN: Varsayılan yapılandırma, 9099 bağlantı noktasında HTTP isteklerini destekler.
- SSL_TERMINATION: Seçtiğiniz bağlantı noktasında Apigee TOA'ya TLS erişimi etkinleştirildi. Bu mod için bir TLS anahtarı ve sertifikası belirtmelisiniz.
- SSL_PROXY: Apigee TOA'yı proxy modunda yapılandırır. Yani
apigee-ssoöğesinin önüne bir yük dengeleyici yüklemiş ve yük dengeleyicide TLS'yi sonlandırmış olursunuz. Yük dengeleyiciden gelen istekler içinapigee-ssoüzerinde kullanılan bağlantı noktasını belirtebilirsiniz.
Portal için harici IdP desteğini etkinleştir
Edge için harici IDP desteğini etkinleştirdikten sonra isterseniz bu desteği Apigee Developer Services portalı (veya portal) için de etkinleştirebilirsiniz. Portal, Edge'e istekte bulunurken SAML ve LDAP kimlik doğrulamasını destekler. Geliştiricinin portala giriş yapması için bunun SAML ve LDAP kimlik doğrulamasından farklı olduğunu unutmayın. Geliştirici girişi için harici IdP kimlik doğrulamasını ayrı olarak yapılandırırsınız. Daha fazla bilgi için Portalı, IdP'leri kullanacak şekilde yapılandırma bölümüne bakın.
Portalı yapılandırmanın bir parçası olarak, Edge ile yüklediğiniz Apigee TOA modülünün URL'sini belirtmeniz gerekir:
