Ringkasan autentikasi IDP eksternal (UI Edge Baru)

UI Edge dan Edge Management API beroperasi dengan membuat permintaan ke Server Pengelolaan Edge, dengan Server Pengelolaan mendukung jenis autentikasi berikut:

  • Autentikasi dasar: Login ke UI Edge atau buat permintaan ke Edge management API dengan meneruskan nama pengguna dan sandi Anda.
  • OAuth2: Tukar kredensial Autentikasi Dasar Edge Anda dengan token akses dan token refresh OAuth2. Lakukan panggilan ke Edge management API dengan meneruskan token akses OAuth2 di header Bearer dari panggilan API.

Edge mendukung penggunaan Penyedia Identitas (IdP) eksternal berikut untuk autentikasi:

  • Security Assertion Markup Language (SAML) 2.0: Buat akses OAuth ini dari pernyataan SAML yang ditampilkan oleh penyedia identitas SAML.
  • Lightweight Directory Access Protocol (LDAP): Menggunakan metode autentikasi binding dan penelusuran LDAP atau metode autentikasi binding sederhana untuk membuat token akses OAuth.

IdP SAML dan LDAP mendukung lingkungan single sign-on (SSO). Dengan menggunakan IdP eksternal dengan Edge, Anda dapat mendukung SSO untuk UI dan API Edge selain layanan lain yang Anda sediakan dan juga mendukung IdP eksternal Anda.

Petunjuk di bagian ini untuk mengaktifkan dukungan IdP eksternal berbeda dengan Autentikasi eksternal dengan cara berikut:

  • Bagian ini menambahkan dukungan SSO
  • Bagian ini ditujukan untuk pengguna UI Edge (bukan UI Klasik)
  • Bagian ini hanya didukung di 4.19.06 dan yang lebih baru

Tentang SSO Apigee

Untuk mendukung SAML atau LDAP di Edge, Anda harus menginstal apigee-sso, modul SSO Apigee. Gambar berikut menampilkan SSO Apigee di penginstalan Edge untuk Private Cloud:

Penggunaan port untuk SSO Apigee

Anda dapat menginstal modul SSO Apigee di node yang sama dengan UI Edge dan Server Manajemen, atau di node-nya sendiri. Pastikan SSO Apigee memiliki akses ke Server Pengelolaan melalui port 8080.

Port 9099 harus terbuka di node Apigee SSO untuk mendukung akses ke Apigee SSO dari browser, dari IdP SAML atau LDAP eksternal, dan dari Server Pengelolaan dan UI Edge. Sebagai bagian dari mengonfigurasi Apigee SSO, Anda dapat menentukan bahwa koneksi eksternal menggunakan HTTP atau protokol HTTPS terenkripsi.

Apigee SSO menggunakan database Postgres yang dapat diakses di port 5432 pada node Postgres. Biasanya, Anda dapat menggunakan server Postgres yang sama dengan yang diinstal dengan Edge, baik server Postgres mandiri maupun dua server Postgres yang dikonfigurasi dalam mode master/standby. Jika beban pada server Postgres Anda tinggi, Anda juga dapat memilih untuk membuat node Postgres terpisah hanya untuk SSO Apigee.

Dukungan ditambahkan untuk OAuth2 ke Edge untuk Private Cloud

Seperti yang disebutkan di atas, penerapan SAML Edge mengandalkan token akses OAuth2.Oleh karena itu, dukungan OAuth2 telah ditambahkan ke Edge untuk Cloud Pribadi. Untuk informasi selengkapnya, lihat Pengantar OAuth 2.0.

Tentang SAML

Autentikasi SAML menawarkan beberapa keunggulan. Dengan menggunakan SAML, Anda dapat:

  • Mengontrol pengelolaan pengguna sepenuhnya. Saat pengguna keluar dari organisasi dan dicabut aksesnya secara terpusat, mereka otomatis tidak dapat mengakses Edge.
  • Mengontrol cara pengguna mengautentikasi untuk mengakses Edge. Anda dapat memilih jenis autentikasi yang berbeda untuk organisasi Edge yang berbeda.
  • Mengontrol kebijakan autentikasi. Penyedia SAML Anda mungkin mendukung kebijakan autentikasi yang lebih sesuai dengan standar perusahaan Anda.
  • Anda dapat memantau login, logout, upaya login yang gagal, dan aktivitas berisiko tinggi di deployment Edge.

Dengan SAML yang diaktifkan, akses ke UI Edge dan API pengelolaan Edge akan menggunakan token akses OAuth2. Token ini dihasilkan oleh modul SSO Apigee yang menerima pernyataan SAML yang ditampilkan oleh IDP Anda.

Setelah dibuat dari pernyataan SAML, token OAuth akan valid selama 30 menit dan token refresh berlaku selama 24 jam. Lingkungan pengembangan Anda mungkin mendukung otomatisasi untuk tugas pengembangan umum, seperti otomatisasi pengujian atau Continuous Integration/Continuous Deployment (CI/CD), yang memerlukan token dengan durasi lebih lama. Lihat Menggunakan SAML dengan tugas otomatis untuk mengetahui informasi tentang cara membuat token khusus untuk tugas otomatis.

Tentang LDAP

Lightweight Directory Access Protocol (LDAP) adalah protokol aplikasi standar industri terbuka untuk mengakses dan mengelola layanan informasi direktori terdistribusi. Layanan direktori dapat menyediakan kumpulan data yang terorganisir, sering kali dengan struktur hierarkis, seperti direktori email perusahaan.

Autentikasi LDAP dalam Apigee SSO menggunakan modul LDAP Spring Security. Akibatnya, metode autentikasi dan opsi konfigurasi untuk dukungan LDAP Apigee SSO secara langsung berkorelasi dengan metode yang ditemukan di LDAP Spring Security.

LDAP dengan Edge untuk Cloud Pribadi mendukung metode autentikasi berikut terhadap server yang kompatibel dengan LDAP:

  • Telusuri dan Kaitkan (binding tidak langsung)
  • Simple Bind (binding langsung)

Apigee SSO mencoba mengambil alamat email pengguna dan memperbarui data pengguna internalnya dengan alamat tersebut sehingga ada alamat email saat ini yang tercantum karena Edge menggunakan email ini untuk tujuan otorisasi.

URL UI dan API Edge

URL yang Anda gunakan untuk mengakses UI Edge dan Edge management API sama dengan yang digunakan sebelum Anda mengaktifkan SAML atau LDAP. Untuk UI Edge:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

Dengan edge_UI_IP_DNS adalah alamat IP atau nama DNS mesin yang menghosting UI Edge. Sebagai bagian dari mengonfigurasi UI Edge, Anda dapat menentukan agar koneksi menggunakan HTTP atau protokol HTTPS terenkripsi.

Untuk API pengelolaan Edge:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

Dengan ms_IP_DNS adalah alamat IP atau nama DNS Server Pengelolaan. Sebagai bagian dari konfigurasi API, Anda dapat menentukan bahwa koneksi menggunakan HTTP atau protokol HTTPS terenkripsi.

Mengonfigurasi TLS di SSO Apigee

Secara default, koneksi ke Apigee SSO menggunakan HTTP melalui port 9099 di node yang menghosting apigee-sso, modul Apigee SSO. Dibuat dalam apigee-sso adalah instance Tomcat yang menangani permintaan HTTP dan HTTPS.

Apigee SSO dan Tomcat mendukung tiga mode koneksi:

  • DEFAULT: Konfigurasi default mendukung permintaan HTTP di port 9099.
  • SSL_TERMINATION: Mengaktifkan akses TLS ke SSO Apigee di port pilihan Anda. Anda harus menentukan kunci dan sertifikat TLS untuk mode ini.
  • SSL_PROXY: Mengonfigurasi Apigee SSO dalam mode proxy, yang berarti Anda menginstal load balancer di depan apigee-sso dan menghentikan TLS di load balancer. Anda dapat menentukan port yang digunakan pada apigee-sso untuk permintaan dari load balancer.

Mengaktifkan dukungan IdP eksternal untuk portal

Setelah mengaktifkan dukungan IDP eksternal untuk Edge, Anda dapat mengaktifkannya secara opsional untuk portal Layanan Developer Apigee (atau portal). Portal ini mendukung autentikasi SAML dan LDAP saat membuat permintaan ke Edge. Perhatikan bahwa ini berbeda dengan autentikasi SAML dan LDAP untuk login developer ke portal. Anda mengonfigurasi autentikasi IdP eksternal untuk login developer secara terpisah. Lihat Mengonfigurasi portal untuk menggunakan IdP untuk mengetahui informasi selengkapnya.

Sebagai bagian dari konfigurasi portal, Anda harus menentukan URL modul SSO Apigee yang diinstal dengan Edge:

Alur permintaan/respons dengan token