تثبيت تطبيق Apigee الدخول المُوحَّد (SSO) للتعرُّف على مدى التوفُّر العالي

يتم تثبيت نُسخ متعددة من خدمة Apigee لخدمة الدخول المُوحَّد (SSO) لتوفير مستوى مرتفع من الوصول في حالتَين:

  • في بيئة مركز بيانات واحدة، يمكنك تثبيت مثيلين من Apigee لخدمة الدخول المُوحَّد (SSO) لإنشاء بيئة توفّر بدرجة عالية، ما يعني أنّ النظام يواصل العمل في حال تعطُّل إحدى وحدات Apigee الموحّدة.
  • في بيئة تشتمل على مركزي بيانات، يمكنك تثبيت خدمة Apigee لخدمة الدخول المُوحَّد (SSO) في كلا مركزَي البيانات حتى يستمر النظام في العمل في حال تعطُّل إحدى وحدات ApigeeSSO.

تثبيت وحدتين للدخول الموحّد من Apigee في مركز البيانات نفسه

يتم نشر مثيلين من خدمة Apigee للدخول الموحّد (SSO) على عُقد مختلفة في مركز بيانات واحد لإتاحة ارتفاع مدى التوفُّر. في هذا السيناريو:

  • يجب توصيل كلتا النسختين من خدمة Apigee لخدمة الدخول المُوحَّد (SSO) بخادم Postgres نفسه. تنصح Apigee باستخدام خادم Postgres مخصّص للدخول الموحّد في Apigee وليس باستخدام خادم Postgres نفسه الذي تم تثبيته باستخدام Edge.
  • يجب أن تستخدم كلتا النسختين من Apigee خدمة الدخول المُوحَّد (SSO) زوج مفاتيح JWT نفسه كما هو محدّد في السمتَين SSO_JWT_SIGNING_KEY_FILEPATH وSSO_JWT_VERIFICATION_KEY_FILEPATH في ملف الإعداد. راجع تثبيت خدمة الدخول المُوحَّد (SSO) لخدمة Apigee وإعدادها للحصول على مزيد من المعلومات عن إعداد هذه المواقع.
  • تتطلّب منك استخدام جهاز موازنة الحمل أمام مثيلتَي الدخول الموحّد لخدمة Apigee:
    • يجب أن يتوافق جهاز موازنة الحمل مع معدّل تكرار استخدام ملفات تعريف الارتباط الذي ينشئه التطبيق، ويجب تسمية ملف تعريف الارتباط للجلسة JSESSIONID.
    • يجب ضبط جهاز موازنة الحمل لإجراء تحقّق من سلامة بروتوكول TCP أو HTTP على خدمة Apigee لخدمة الدخول المُوحَّد (SSO). بالنسبة إلى بروتوكول TCP، استخدِم عنوان URL للدخول المُوحَّد (SSO) الخاص بخدمة Apigee: 
      http_or_https://edge_sso_IP_DNS:9099

      حدِّد المنفذ على النحو الذي تم ضبطه من خلال خدمة الدخول المُوحَّد (SSO) لخدمة Apigee. المنفذ 9099 هو المنفذ التلقائي.

      بالنسبة إلى HTTP، يجب تضمين /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • تعتمد بعض إعدادات جهاز موازنة الحمل على ما إذا كنت قد فعّلت بروتوكول HTTPS عند تفعيل الدخول المُوحَّد (SSO) لتطبيق Apigee. راجِع الأقسام التالية للحصول على مزيد من المعلومات.

وصول HTTP إلى خدمة Apigee للدخول الموحّد (SSO)

في حال استخدام الدخول عبر HTTP إلى خدمة Apigee للدخول الموحّد (SSO)، يجب ضبط جهاز موازنة الحمل لتنفيذ ما يلي:

  • استخدِم وضع HTTP للاتصال بخدمة Apigee للدخول الموحّد (SSO).

  • استمع إلى المنفذ نفسه الذي يتم فيه استخدام خدمة Apigee لخدمة الدخول المُوحَّد (SSO).

    تستمع خدمة Apigee لخدمة الدخول المُوحَّد (SSO) تلقائيًا إلى طلبات HTTP على المنفذ 9099. ويمكنك اختياريًا استخدام SSO_TOMCAT_PORT لضبط منفذ Apigee للدخول الموحّد (SSO). في حال استخدام SSO_TOMCAT_PORT لتغيير منفذ Apigee لخدمة الدخول المُوحَّد (SSO) من الإعداد التلقائي، تأكَّد من أنّ جهاز موازنة الحمل يستمع إلى هذا المنفذ.

على سبيل المثال، في كل مثيل لخدمة الدخول المُوحَّد (SSO) في Apigee، يمكنك ضبط المنفذ على 9033 من خلال إضافة ما يلي إلى ملف الإعداد:

SSO_TOMCAT_PORT=9033

بعد ذلك، يمكنك ضبط جهاز موازنة الحمل للاستماع عبر المنفذ 9033 وإعادة توجيه الطلبات إلى مثيل Edge الخاص بخدمة الدخول المُوحَّد (SSO) على المنفذ 9033. عنوان URL العام لخدمة Apigee تسجيل الدخول في هذا السيناريو هو:

http://LB_DNS_NAME:9033

الوصول عبر HTTPS إلى الدخول الموحَّد (SSO) لخدمة Apigee

يمكنك ضبط حالات تسجيل الدخول المُوحَّد (SSO) في Apigee لاستخدام HTTPS. في هذا السيناريو، اتّبِع الخطوات الواردة في ضبط الدخول المُوحَّد (SSO) لتطبيق Apigee للوصول إلى HTTPS. كجزء من عملية تفعيل HTTPS، يمكنك ضبط SSO_TOMCAT_PROFILE في ملف إعداد الدخول الموحّد (SSO) في Apigee كما هو موضّح أدناه:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

يمكنك أيضًا اختياريًا ضبط المنفذ الذي تستخدمه خدمة Apigee لخدمة الدخول المُوحَّد (SSO) للوصول إلى HTTPS:

SSO_TOMCAT_PORT=9443

بعد ذلك، عليك ضبط جهاز موازنة الحمل لتنفيذ ما يلي:

  • استخدِم وضع TCP، وليس وضع HTTP، للاتصال بخدمة Apigee الموحّدة.
  • استمع إلى المنفذ نفسه الذي يتم فيه استخدام خدمة Apigee لخدمة الدخول المُوحَّد (SSO) على النحو المحدّد من قِبل SSO_TOMCAT_PORT.

بعد ذلك، يمكنك ضبط جهاز موازنة التحميل لإعادة توجيه الطلبات إلى مثيل ApigeeSSO على المنفذ 9433. عنوان URL العام لخدمة Apigee تسجيل الدخول في هذا السيناريو هو:

https://LB_DNS_NAME:9443

تثبيت خدمة Apigee لخدمة الدخول المُوحَّد (SSO) في مراكز بيانات متعدّدة

في بيئة مركز بيانات متعددة، يمكنك تثبيت مثيل ApigeeSSO في كل مركز بيانات. بعد ذلك، يعالج مثيل Apigee واحد لخدمة الدخول المُوحَّد (SSO) جميع حركة البيانات. إذا حدث عطل في مثيل Apigee الخاص بخدمة الدخول الموحّد (SSO)، يمكنك التبديل إلى مثيل Apigee واحد (SSO) الثاني.

قبل تثبيت خدمة Apigee المُوحَّدة (SSO) في مركزَي بيانات، ستحتاج إلى ما يلي:

  • عنوان IP أو اسم النطاق لخادم Master Postgres.

    في بيئة مراكز بيانات متعددة، يتم عادةً تثبيت خادم Postgres واحد في كل مركز بيانات وإعداده في وضع النسخ المتماثل في وضع الاستعداد الرئيسي. في هذا المثال، يتضمّن مركز البيانات 1 خادم Postgres الرئيسي ويحتوي مركز البيانات 2 على Standby. لمزيد من المعلومات، يُرجى الاطّلاع على إعداد النسخ المماثل لوضع الاستعداد لـ Postgres.

  • إدخال واحد لنظام أسماء النطاقات يشير إلى مثيل Apigee واحد للدخول الموحّد (SSO) على سبيل المثال، يمكنك إنشاء إدخال نظام أسماء النطاقات في النموذج أدناه والذي يشير إلى مثيل ApigeeSSO في مركز البيانات 1: 
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • يجب أن تستخدم كلتا النسختين من Apigee خدمة الدخول المُوحَّد (SSO) زوج مفاتيح JWT نفسه كما هو محدّد في السمتَين SSO_JWT_SIGNING_KEY_FILEPATH وSSO_JWT_VERIFICATION_KEY_FILEPATH في ملف الإعداد. راجع تثبيت خدمة الدخول المُوحَّد (SSO) لخدمة Apigee وإعدادها للحصول على مزيد من المعلومات عن إعداد هذه المواقع.

عند تثبيت الدخول المُوحَّد (SSO) لخدمة Apigee في كل مركز بيانات، يمكنك ضبط كليهما لاستخدام Postgres Master في مركز البيانات 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

يمكنك أيضًا ضبط مركزَي البيانات لاستخدام إدخال نظام أسماء النطاقات كعنوان URL متاح للجميع:

# Externally accessible URL of Apigee SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

إذا تعطّل خدمة الدخول الموحَّد (SSO) لخدمة Apigee في مركز البيانات 1، يمكنك التبديل إلى مثيل Apigee الخاص بخدمة الدخول الموحَّد (SSO) في مركز البيانات 2:

  1. حوِّل خادم Postgres Standby في مركز البيانات 2 إلى "رئيسي" كما هو موضَّح في التعامل مع تجاوز تعذُّر قاعدة بيانات PostgreSQL.
  2. عدِّل سجلّ نظام أسماء النطاقات لتوجيه my-sso.domain.com إلى مثيل Apigee الخاص بخدمة الدخول الموحّد (SSO) في مركز البيانات 2: 
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. عدِّل ملف إعداد Apigee رسوم الدخول الموحَّد (SSO) في مركز البيانات 2 للتوجيه إلى خادم Postgres Master الجديد في مركز البيانات 2: 
    ## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. أعِد تشغيل الدخول المُوحَّد (SSO) لخدمة Apigee في مركز البيانات 2 لتعديل الإعدادات: 
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart