Die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API senden Anfragen an den Edge-Verwaltungsserver. Der Verwaltungsserver unterstützt die folgenden Authentifizierungstypen:
- Basisauthentifizierung: Melden Sie sich bei der Edge-Benutzeroberfläche an oder stellen Sie Anfragen an die Edge-Verwaltungs-API, indem Sie Ihren Nutzernamen und Ihr Passwort übergeben.
- OAuth2:Tauschen Sie Ihre Edge-Anmeldedaten für die Basisauthentifizierung gegen ein OAuth2-Zugriffstoken und ein Aktualisierungstoken aus. Rufen Sie die Edge-Verwaltungs-API auf, indem Sie das OAuth2-Zugriffstoken im Bearer-Header eines API-Aufrufs übergeben.
Edge unterstützt die Verwendung der folgenden externen Identitätsanbieter (IDPs) für die Authentifizierung:
- Security Assertion Markup Language (SAML) 2.0:OAuth-Zugriffsrechte werden aus SAML-Assertions generiert, die von einem SAML-Identitätsanbieter zurückgegeben werden.
- Lightweight Directory Access Protocol (LDAP): Verwenden Sie die Such- und Bindungs- oder die einfache Bindungsauthentifizierungsmethode von LDAP, um OAuth-Zugriffstokens zu generieren.
Sowohl SAML- als auch LDAP-IdPs unterstützen eine SSO-Umgebung (Single Sign-On). Wenn Sie einen externen Identitätsanbieter mit Edge verwenden, können Sie SSO für die Edge-Benutzeroberfläche und ‑API sowie für alle anderen von Ihnen bereitgestellten Dienste unterstützen, die auch Ihren externen Identitätsanbieter unterstützen.
Die Anleitung in diesem Abschnitt zum Aktivieren der Unterstützung externer IdP unterscheidet sich in folgenden Punkten von der externen Authentifizierung:
- In diesem Abschnitt wird die Unterstützung für SSO hinzugefügt.
- Dieser Abschnitt richtet sich an Nutzer der Edge-Benutzeroberfläche (nicht der klassischen Benutzeroberfläche).
- Dieser Abschnitt wird nur von Version 4.19.06 und höher unterstützt.
Informationen zur Apigee-SSO
Wenn Sie SAML oder LDAP auf Edge unterstützen möchten, installieren Sie apigee-sso, das Apigee-SSO-Modul.
Die folgende Abbildung zeigt Apigee SSO in einer Edge for Private Cloud-Installation:
Sie können das Apigee-SSO-Modul auf demselben Knoten wie die Edge-Benutzeroberfläche und den Verwaltungsserver oder auf einem eigenen Knoten installieren. Apigee SSO muss über Port 8080 auf den Verwaltungsserver zugreifen können.
Port 9099 muss auf dem Apigee SSO-Knoten geöffnet sein, um den Zugriff auf Apigee SSO über einen Browser, den externen SAML- oder LDAP-IdP sowie über den Verwaltungsserver und die Edge-Benutzeroberfläche zu unterstützen. Beim Konfigurieren von Apigee SSO können Sie angeben, dass für die externe Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet werden soll.
Apigee SSO verwendet eine Postgres-Datenbank, auf die über Port 5432 am Postgres-Knoten zugegriffen werden kann. Normalerweise können Sie denselben Postgres-Server verwenden, den Sie mit Edge installiert haben. Das kann entweder ein eigenständiger Postgres-Server oder zwei Postgres-Server sein, die im Master/Standby-Modus konfiguriert sind. Wenn die Auslastung Ihres Postgres-Servers hoch ist, können Sie auch einen separaten Postgres-Knoten nur für Apigee SSO erstellen.
Unterstützung für OAuth2 in Edge for Private Cloud
Wie bereits erwähnt, basiert die Edge-Implementierung von SAML auf OAuth2-Zugriffstokens.Daher wurde Edge for Private Cloud die OAuth2-Unterstützung hinzugefügt. Weitere Informationen findest du unter Einführung in OAuth 2.0.
Informationen zu SAML
Die SAML-Authentifizierung bietet mehrere Vorteile. Mit SAML können Sie Folgendes tun:
- Vollständige Kontrolle über die Nutzerverwaltung. Wenn Nutzer Ihre Organisation verlassen und deren Bereitstellung zentral aufgehoben wird, wird ihnen der Zugriff auf Edge automatisch verweigert.
- Festlegen, wie sich Nutzer für den Zugriff auf Edge authentifizieren Sie können für verschiedene Edge-Organisationen unterschiedliche Authentifizierungstypen auswählen.
- Authentifizierungsrichtlinien steuern Ihr SAML-Anbieter unterstützt möglicherweise Authentifizierungsrichtlinien, die den Unternehmensstandards entsprechen.
- Sie können Anmeldungen, Abmeldungen, fehlgeschlagene Anmeldeversuche und Aktivitäten mit hohem Risiko für Ihr Edge-Deployment überwachen.
Wenn SAML aktiviert ist, werden für den Zugriff auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API OAuth2-Zugriffstokens verwendet. Diese Tokens werden vom Apigee-SSO-Modul generiert, das SAML-Assertions akzeptiert, die von Ihrem IdP zurückgegeben werden.
Nach der Generierung aus einer SAML-Bestätigung ist das OAuth-Token 30 Minuten und das Aktualisierungstoken 24 Stunden lang gültig. Ihre Entwicklungsumgebung unterstützt möglicherweise die Automatisierung gängiger Entwicklungsaufgaben wie die Testautomatisierung oder Continuous Integration/Continuous Deployment (CI/CD), für die Tokens mit einer längeren Gültigkeitsdauer erforderlich sind. Informationen zum Erstellen spezieller Tokens für automatisierte Aufgaben finden Sie unter SAML mit automatisierten Aufgaben verwenden.
LDAP
Das Lightweight Directory Access Protocol (LDAP) ist ein offenes, branchenübliches Anwendungsprotokoll für den Zugriff auf und die Pflege verteilter Verzeichnisinformationsdienste. Verzeichnisdienste können einen beliebigen organisierten Satz von Datensätzen bereitstellen, oft mit einer hierarchischen Struktur, z. B. ein E-Mail-Verzeichnis des Unternehmens.
Für die LDAP-Authentifizierung in Apigee SSO wird das Spring Security LDAP-Modul verwendet. Daher sind die Authentifizierungsmethoden und Konfigurationsoptionen für die LDAP-Unterstützung von Apigee SSO direkt mit denen in Spring Security LDAP verknüpft.
LDAP mit Edge für die Private Cloud unterstützt die folgenden Authentifizierungsmethoden gegenüber einem LDAP-kompatiblen Server:
- Suchen und binden (indirekte Bindung)
- Einfache Bindung (direkte Bindung)
Apigee SSO versucht, die E-Mail-Adresse des Nutzers abzurufen und seinen internen Nutzerdatensatz damit zu aktualisieren, damit eine aktuelle E-Mail-Adresse hinterlegt ist, da Edge diese E-Mail-Adresse zur Autorisierung verwendet.
Edge-Benutzeroberfläche und API-URLs
Die URL, über die Sie auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API zugreifen, ist die gleiche wie vor der Aktivierung von SAML oder LDAP. Für die Edge-Benutzeroberfläche:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
Dabei ist edge_UI_IP_DNS die IP-Adresse oder der DNS-Name des Computers, auf dem die Edge-Benutzeroberfläche gehostet wird. Im Rahmen der Konfiguration der Edge-UI können Sie angeben, dass die Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet.
Für die Edge Management API:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Dabei ist ms_IP_DNS die IP-Adresse oder der DNS-Name des Verwaltungsservers. Bei der Konfiguration der API kannst du angeben, dass für die Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet werden soll.
TLS für Apigee SSO konfigurieren
Standardmäßig verwendet die Verbindung zu Apigee SSO HTTP über Port 9099 auf dem Knoten, der apigee-sso, das Apigee SSO-Modul, hostet. In apigee-sso ist eine Tomcat-Instanz integriert, die die HTTP- und HTTPS-Anfragen verarbeitet.
Apigee SSO und Tomcat unterstützen drei Verbindungsmodi:
- STANDARD: Die Standardkonfiguration unterstützt HTTP-Anfragen an Port 9099.
- SSL_TERMINATION: Der TLS-Zugriff auf Apigee-SSO wurde am Port Ihrer Wahl aktiviert. Für diesen Modus müssen Sie einen TLS-Schlüssel und ein TLS-Zertifikat angeben.
- SSL_PROXY::Konfiguriert Apigee SSO im Proxy-Modus. Das bedeutet, dass Sie einen Load Balancer vor
apigee-ssoinstalliert und TLS am Load Balancer beendet haben. Sie können den Port angeben, der aufapigee-ssofür Anfragen vom Load Balancer verwendet wird.
Unterstützung externer Identitätsanbieter für das Portal aktivieren
Nachdem Sie die Unterstützung externer IdPs für Edge aktiviert haben, können Sie sie optional auch für das Apigee Developer Services-Portal (oder einfach das Portal) aktivieren. Das Portal unterstützt die SAML- und LDAP-Authentifizierung bei Anfragen an Edge. Beachten Sie, dass sich diese von der SAML- und der LDAP-Authentifizierung für die Entwickleranmeldung im Portal unterscheidet. Die externe IdP-Authentifizierung für die Entwickleranmeldung wird separat konfiguriert. Weitere Informationen finden Sie unter Portal für die Verwendung von Identitätsanbietern konfigurieren.
Bei der Konfiguration des Portals müssen Sie die URL des Apigee SSO-Moduls angeben, das Sie mit Edge installiert haben:
