تعمل واجهة برمجة التطبيقات Edge Management API وواجهة مستخدم Edge من خلال إرسال طلبات إلى Edge Management Server، حيث يتيح Management Server أنواع المصادقة التالية:
- المصادقة الأساسية: سجِّل الدخول إلى واجهة مستخدم Edge أو أرسِل طلبات إلى واجهة برمجة تطبيقات إدارة Edge من خلال إدخال اسم المستخدم وكلمة المرور.
- OAuth2: استبدِل بيانات اعتماد مصادقة Edge Basic برمز الوصول إلى OAuth2 ورمز التحديث المميز. يمكنك إجراء طلبات بيانات إلى واجهة برمجة التطبيقات لإدارة Edge من خلال تمرير رمز دخول OAuth2 في عنوان Bearer لطلب بيانات من واجهة برمجة التطبيقات.
يتيح Edge استخدام موفّري الهوية (IdP) الخارجيين التاليين للمصادقة:
- لغة ترميز تأكيد الأمان (SAML) 2.0: يمكنك إنشاء أذونات وصول OAuth من بيانات تأكيد SAML التي يعرضها موفِّر هوية SAML.
- بروتوكول Lightweight Directory Access Protocol (LDAP): استخدِم البحث والربط في LDAP أو methods of authentication binding simple (طرق المصادقة البسيطة للربط) لإنشاء رموز الوصول المميّزة عبر OAuth.
يتوافق كل من موفِّري الهوية SAML وLDAP مع بيئة الدخول المُوحَّد (SSO). باستخدام موفِّر هوية خارجي مع Edge، يمكنك إتاحة الدخول المُوحَّد لواجهة مستخدم Edge وواجهة برمجة التطبيقات بالإضافة إلى أي خدمات أخرى تقدّمها وتتيح أيضًا موفِّر الهوية الخارجي.
تختلف التعليمات الواردة في هذا القسم لتفعيل ميزة "موفِّر الهوية الخارجي" عن تعليمات المصادقة الخارجية في النقاط التالية:
- يضيف هذا القسم إمكانية استخدام الدخول المُوحَّد (SSO).
- هذا القسم مخصص لمستخدمي واجهة مستخدم Edge (وليس واجهة المستخدم الكلاسيكية)
- لا يتوفر هذا القسم إلا على الإصدار 4.19.06 والإصدارات الأحدث
لمحة عن الدخول المُوحَّد (SSO) في Apigee
لتفعيل لغة SAML أو بروتوكول LDAP على Edge، عليك تثبيت apigee-sso، وهي وحدة الدخول المُوحَّد في Apigee.
تعرض الصورة التالية خدمة الدخول المُوحَّد Apigee في عملية تثبيت Edge for Private Cloud:
يمكنك تثبيت وحدة الدخول المُوحَّد في Apigee على العقدة نفسها التي تتضمّن واجهة مستخدم Edge وخادم الإدارة، أو على عقدة منفصلة. تأكَّد من أنّ خدمة الدخول الموحد في Apigee يمكنها الوصول إلى "خادم الإدارة" عبر المنفذ 8080.
يجب أن يكون المنفذ 9099 مفتوحًا في عقدة الدخول المُوحَّد في Apigee لإتاحة الوصول إلى الدخول المُوحَّد في Apigee من متصفّح، ومن موفِّر الهوية الخارجي SAML أو LDAP، ومن خادم الإدارة وواجهة مستخدم Edge. وكجزء من عملية إعداد الدخول المُوحَّد (SSO) في Apigee، يمكنك تحديد أنّ الاتصال الخارجي يستخدم HTTP أو بروتوكول HTTPS المشفّر.
يستخدم Apigee SSO قاعدة بيانات Postgres يمكن الوصول إليها من خلال المنفذ 5432 على عقدة Postgres. يمكنك عادةً استخدام خادم Postgres نفسه الذي ثبّته باستخدام Edge، إما خادم Postgres مستقل أو خادمَي Postgres تم ضبطهما في وضع "الخادم الرئيسي/الخادم الاحتياطي". إذا كان التحميل على خادم Postgres مرتفعًا، يمكنك أيضًا اختيار إنشاء عقدة Postgres منفصلة فقط للدخول الموحَّد (SSO) في Apigee.
تمت إضافة دعم OAuth2 إلى Edge for Private Cloud.
كما ذكرنا أعلاه، يعتمد تنفيذ Edge الخاص بمعيار SAML على رموز الدخول OAuth2.ولهذا، تمت إضافة دعم OAuth2 إلى Edge for Private Cloud. لمزيد من المعلومات، يُرجى الاطّلاع على مقدّمة عن بروتوكول OAuth 2.0.
لمحة عن بروتوكول SAML
تقدم مصادقة SAML العديد من المزايا. باستخدام SAML، يمكنك إجراء ما يلي:
- التحكّم الكامل في إدارة المستخدمين عندما يغادر المستخدمون مؤسستك ويتم إلغاء توفير إمكانية وصولهم إلى الخدمة بشكل مركزي، يتم تلقائيًا رفض وصولهم إلى Edge.
- التحكّم في كيفية مصادقة المستخدمين للوصول إلى Edge يمكنك اختيار أنواع مصادقة مختلفة لمؤسسات Edge مختلفة.
- التحكم في سياسات المصادقة. قد يتيح موفِّر SAML سياسات مصادقة أكثر توافقًا مع معايير مؤسستك.
- يمكنك مراقبة عمليات تسجيل الدخول وتسجيل الخروج ومحاولات تسجيل الدخول غير الناجحة والأنشطة العالية الخطورة في عملية نشر Edge.
عند تفعيل بروتوكول SAML، يتم استخدام رموز الوصول OAuth2 للوصول إلى واجهة مستخدم Edge وEdge management API. يتم إنشاء هذه الرموز المميّزة بواسطة وحدة الدخول المُوحَّد في Apigee التي تقبل تأكيدات SAML التي يعرضها موفِّر الهوية (IdP).
بعد إنشائه من تعريف SAML، يكون رمز OAuth صالحًا لمدة 30 دقيقة ويكون رمز إعادة التحديث صالحًا لمدة 24 ساعة. قد تتيح بيئة التطوير التشغيل الآلي لمهام التطوير الشائعة، مثل التشغيل الآلي للاختبار أو التكامل المستمر/النشر المستمر (CI/CD)، التي تتطلّب استخدام الرموز المميّزة التي تدوم لفترة أطول. اطّلِع على مقالة استخدام لغة SAML مع المهام المبرمَجة للحصول على معلومات عن إنشاء الرموز المميّزة للمهام المبرمَجة.
لمحة عن بروتوكول LDAP
البروتوكول الخفيف لتغيير بيانات الدليل (LDAP) هو بروتوكول تطبيق مفتوح وقياسي في المجال للوصول إلى خدمات معلومات الدليل الموزّعة والحفاظ عليها. وقد توفّر خدمات الدليل أي مجموعة منظَّمة من السجلّات، وغالبًا ما تكون ببنية هرمية، مثل دليل البريد الإلكتروني للشركة.
تستخدم مصادقة LDAP ضمن الدخول المُوحَّد في Apigee وحدة Spring Security LDAP. نتيجةً لذلك، فإنّ طرق المصادقة وخيارات الضبط لميزة دعم LDAP في Apigee SSO مرتبطة مباشرةً بتلك المتوفّرة في Spring Security LDAP.
تتوافق خدمة LDAP مع Edge في "السحابة الإلكترونية الخاصة" مع طرق المصادقة التالية مع خادم متوافق مع LDAP:
- البحث والربط (الربط غير المباشر)
- الربط البسيط (الربط المباشر)
تحاول خدمة الدخول المُوحَّد في Apigee استرداد عنوان البريد الإلكتروني للمستخدم وتعديل سجلّ المستخدم الداخلي به حتى يتوفّر عنوان بريد إلكتروني حالي في الملف لأنّ Edge يستخدم عنوان البريد الإلكتروني هذا لأغراض التفويض.
واجهة مستخدم Edge وعناوين URL لواجهة برمجة التطبيقات
إنّ عنوان URL الذي تستخدمه للوصول إلى واجهة مستخدم Edge وEdge Management API هو نفسه العنوان المستخدَم قبل تفعيل SAML أو LDAP. بالنسبة إلى واجهة مستخدم Edge:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
حيث edge_UI_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات للجهاز الذي يستضيف واجهة مستخدم Edge. كجزء من ضبط واجهة مستخدم Edge، يمكنك تحديد أن يستخدم الاتصال بروتوكول HTTP أو بروتوكول HTTPS المشفَّر.
بالنسبة إلى واجهة برمجة تطبيقات إدارة Edge:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
حيث يكون ms_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات لخدمة الإدارة. كجزء من ضبط واجهة برمجة التطبيقات، يمكنك تحديد أن يستخدم الاتصال بروتوكول HTTP أو بروتوكول HTTPS المشفَّر.
ضبط بروتوكول أمان طبقة النقل (TLS) على الدخول المُوحَّد في Apigee
يستخدم الاتصال بـ Apigee SSO بروتوكول HTTP عبر المنفذ 9099 على العقدة التي تستضيف
apigee-sso، وهي وحدة Apigee SSO. تم تضمين مثيل Tomcat
في apigee-sso لمعالجة طلبات HTTP وHTTPS.
يتيح كلّ من Apigee SSO وTomcat ثلاثة أوضاع اتصال:
- الإعداد التلقائي: تتيح الإعدادات التلقائية طلبات HTTP على المنفذ 9099.
- SSL_TERMINATION: تم تفعيل إمكانية الوصول إلى بروتوكول TLS في Apigee SSO على المنفذ الذي تختاره. يجب تحديد مفتاح بروتوكول أمان طبقة النقل وشهادة لهذا الوضع.
- SSL_PROXY: لضبط الدخول المُوحَّد في Apigee في وضع الخادم الوكيل، ما يعني أنّك ثبَّت جهازًا لتحميل
التوازن أمام
apigee-ssoوأوقفت بروتوكول أمان طبقة النقل (TLS) على جهاز التوازن. يمكنك تحديد المنفذ المستخدَم علىapigee-ssoللطلبات الواردة من موازن الحمولة.
تفعيل إتاحة موفِّر الهوية الخارجي للبوابة
بعد تفعيل ميزة موفِّر الهوية الخارجي في Edge، يمكنك تفعيلها اختياريًا في بوابة Apigee Developer Services (أو البوابة ببساطة). تدعم البوابة مصادقة SAML وLDAP عند تقديم طلبات إلى Edge. يُرجى العِلم أنّ هذا الإجراء مختلف عن مصادقة SAML وLDAP لتسجيل دخول المطوّر إلى البوابة. يمكنك ضبط مصادقة موفِّر هوية خارجي لتسجيل دخول المطوّر بشكل منفصل. اطّلِع على ضبط البوابة لاستخدام موفّري الهوية لمعرفة المزيد.
كجزء من عملية إعداد البوابة، عليك تحديد عنوان URL الخاص بوحدة الدخول المُوحَّد (SSO) في Apigee التي تم تثبيتها باستخدام Edge:
