Übersicht über die externe IdP-Authentifizierung (New Edge-Benutzeroberfläche)

Die Edge-UI und die Edge-Management-API werden durch Senden von Anfragen an den Edge-Verwaltungsserver ausgeführt, wobei der Verwaltungsserver die folgenden Authentifizierungstypen unterstützt:

  • Basisauthentifizierung: Melden Sie sich in der Edge-UI an oder senden Sie Anfragen an die Edge-Management API, indem Sie Ihren Nutzernamen und Ihr Passwort weitergeben.
  • OAuth2: Tauschen Sie Ihre Edge Basic Auth-Anmeldedaten gegen ein OAuth2-Zugriffstoken und ein Aktualisierungstoken aus. Aufrufe an die Edge-Verwaltungs-API, indem das OAuth2-Zugriffstoken im Bearer-Header eines API-Aufrufs übergeben wird

Edge unterstützt die folgenden externen Identitätsanbieter für die Authentifizierung:

  • Security Assertion Markup Language (SAML) 2.0:Generieren Sie einen OAuth-Zugriff aus SAML-Assertions, die von einem SAML-Identitätsanbieter zurückgegeben werden.
  • Lightweight Directory Access Protocol (LDAP): Verwenden Sie die LDAP-Suche und die Bindungs- oder einfache Bindungsauthentifizierungsmethoden, um OAuth-Zugriffstokens zu generieren.

Sowohl SAML- als auch LDAP-IdPs unterstützen eine Umgebung mit Einmalanmeldung (SSO). Wenn Sie einen externen IdP mit Edge verwenden, können Sie die SSO sowohl für die Edge-UI als auch für die API zusätzlich zu allen anderen von Ihnen bereitgestellten Diensten, die auch Ihren externen IdP unterstützen, unterstützen.

Die Anleitung in diesem Abschnitt zum Aktivieren der externen IdP-Unterstützung unterscheidet sich in folgenden Punkten von der externen Authentifizierung:

  • Dieser Abschnitt unterstützt die SSO-Unterstützung
  • Dieser Abschnitt richtet sich an Nutzer der Edge-UI (nicht die klassische Benutzeroberfläche).
  • Dieser Abschnitt wird nur ab 4.19.06 unterstützt

Apigee-SSO

Zur Unterstützung von SAML oder LDAP on Edge installieren Sie apigee-sso, das Apigee-SSO-Modul. Die folgende Abbildung zeigt die Apigee-SSO in einer Edge für die Private Cloud-Installation:

Portnutzung für Apigee-SSO

Sie können das Apigee-SSO-Modul auf demselben Knoten wie die Edge-UI und den Management Server oder auf seinem eigenen Knoten installieren. Prüfen Sie, ob die Apigee-SSO über Port 8080 Zugriff auf den Verwaltungsserver hat.

Port 9099 muss auf dem Apigee-SSO-Knoten geöffnet sein, um den Zugriff auf Apigee SSO über einen Browser, über das externe SAML- oder LDAP-IDP-System sowie über die Verwaltungsserver- und Edge-Benutzeroberfläche zu unterstützen. Beim Konfigurieren der Apigee-SSO können Sie angeben, dass die externe Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet.

Die Apigee-SSO verwendet eine Postgres-Datenbank, die über Port 5432 auf dem Postgres-Knoten zugänglich ist. In der Regel können Sie denselben Postgres-Server verwenden, den Sie mit Edge installiert haben, entweder einen eigenständigen Postgres-Server oder zwei Postgres-Server, die im Master/Standby-Modus konfiguriert wurden. Wenn die Last auf Ihrem Postgres-Server hoch ist, können Sie auch nur für die Apigee-SSO einen separaten Postgres-Knoten erstellen.

Unterstützung für OAuth2 zu Edge für Private Cloud hinzugefügt

Wie oben erwähnt, hängt die Edge-Implementierung von SAML auf OAuth2-Zugriffstokens aus.Daher wurde die OAuth2-Unterstützung zu Edge für Private Cloud hinzugefügt. Weitere Informationen finden Sie unter Einführung in OAuth 2.0.

SAML

Die SAML-Authentifizierung bietet mehrere Vorteile. Mit SAML können Sie Folgendes tun:

  • Vollständige Kontrolle über die Nutzerverwaltung Wenn Nutzer Ihre Organisation verlassen und die Bereitstellung zentral aufheben, wird ihnen automatisch der Zugriff auf Edge verweigert.
  • Legen Sie fest, wie Nutzer sich für den Zugriff auf Edge authentifizieren. Sie können für verschiedene Edge-Organisationen unterschiedliche Authentifizierungstypen auswählen.
  • Authentifizierungsrichtlinien steuern. Möglicherweise unterstützt Ihr SAML-Anbieter Authentifizierungsrichtlinien, die besser mit Ihren Unternehmensstandards übereinstimmen.
  • Sie können in Ihrer Edge-Bereitstellung Anmeldungen, Abmeldungen, fehlgeschlagene Anmeldeversuche und Aktivitäten mit hohem Risiko überwachen.

Wenn SAML aktiviert ist, werden für den Zugriff auf die Edge-UI und die Edge Management API OAuth2-Zugriffstokens verwendet. Diese Tokens werden vom Apigee-SSO-Modul generiert, das vom IdP zurückgegebene SAML-Assertions akzeptiert.

Nach der Generierung aus einer SAML-Assertion ist das OAuth-Token 30 Minuten lang und das Aktualisierungstoken 24 Stunden lang gültig. Ihre Entwicklungsumgebung unterstützt möglicherweise die Automatisierung für gängige Entwicklungsaufgaben wie Testautomatisierung oder Continuous Integration/Continuous Deployment (CI/CD), die Tokens mit längerer Dauer erfordern. Informationen zum Erstellen von speziellen Tokens für automatisierte Aufgaben finden Sie unter SAML mit automatisierten Aufgaben verwenden.

LDAP

Das Lightweight Directory Access Protocol (LDAP) ist ein offenes, branchenübliches Protokoll für den Zugriff und die Wartung verteilter Dienstinformationen. Verzeichnisdienste können alle organisierten Datensätze bereitstellen, die häufig hierarchisch angeordnet sind, z. B. ein E-Mail-Verzeichnis eines Unternehmens.

Die LDAP-Authentifizierung in Apigee SSO verwendet das Spring Security LDAP-Modul. Daher korrelieren die Authentifizierungsmethoden und Konfigurationsoptionen für die LDAP-Unterstützung von Apigee SSO direkt mit denen in Spring Security LDAP.

LDAP mit Edge für die private Cloud unterstützt die folgenden Authentifizierungsmethoden für einen LDAP-kompatiblen Server:

  • Suche und Bindung (indirekte Bindung)
  • Einfache Bindung (direkte Bindung)

Die Apigee-SSO versucht, die E-Mail-Adresse des Nutzers abzurufen und seinen internen Nutzerdatensatz damit zu aktualisieren, sodass eine aktuelle E-Mail-Adresse gespeichert ist, da Edge diese E-Mail-Adresse zu Autorisierungszwecken verwendet.

Edge-UI- und API-URLs

Die URL, die Sie für den Zugriff auf die Edge-UI und die Edge-Management-API verwenden, ist die, die Sie vor der Aktivierung von SAML oder LDAP verwendet haben. Für die Edge-UI:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

Dabei ist edge_UI_IP_DNS die IP-Adresse oder der DNS-Name des Computers, auf dem die Edge-UI gehostet wird. Beim Konfigurieren der Edge-UI können Sie angeben, dass die Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet.

Für die Edge-Verwaltungs-API:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

Dabei ist ms_IP_DNS die IP-Adresse oder der DNS-Name des Verwaltungsservers. Beim Konfigurieren der API können Sie angeben, dass für die Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet wird.

TLS für die Apigee-SSO konfigurieren

Standardmäßig verwendet die Verbindung zu Apigee SSO HTTP über Port 9099 auf dem Knoten, auf dem apigee-sso, das Apigee-SSO-Modul, gehostet wird. In apigee-sso eingebunden ist eine Tomcat-Instanz, die HTTP- und HTTPS-Anfragen verarbeitet.

Apigee SSO und Tomcat unterstützen drei Verbindungsmodi:

  • STANDARD:Die Standardkonfiguration unterstützt HTTP-Anfragen an Port 9099.
  • SSL_TERMINATION:TLS-Zugriff auf Apigee SSO am Port Ihrer Wahl aktiviert. Für diesen Modus müssen Sie einen TLS-Schlüssel und ein Zertifikat angeben.
  • SSL_PROXY:Konfiguriert die Apigee-SSO im Proxymodus, d. h., Sie haben vor apigee-sso einen Load-Balancer installiert und auf dem Load-Balancer TLS beendet. Sie können den auf apigee-sso verwendeten Port für Anfragen vom Load-Balancer angeben.

Externe IdP-Unterstützung für das Portal aktivieren

Nachdem Sie die externe IdP-Unterstützung für Edge aktiviert haben, können Sie sie für das Portal für Apigee-Entwicklerdienste (oder einfach das Portal) aktivieren. Das Portal unterstützt die SAML- und LDAP-Authentifizierung bei Anfragen an Edge. Beachten Sie, dass sich dies von der SAML- und LDAP-Authentifizierung für die Entwickleranmeldung im Portal unterscheidet. Die externe IdP-Authentifizierung für die Entwickleranmeldung wird separat konfiguriert. Weitere Informationen finden Sie unter Portal für die Verwendung von IdPs konfigurieren.

Beim Konfigurieren des Portals müssen Sie die URL des Apigee-SSO-Moduls angeben, das Sie mit Edge installiert haben:

Der Anfrage-/Antwortfluss mit Tokens