L'UI Edge et l'API de gestion Edge fonctionnent en envoyant des requêtes au serveur de gestion Edge, qui prend en charge les types d'authentification suivants:
- Authentification de base:connectez-vous à l'interface utilisateur Edge ou envoyez des requêtes à l'API de gestion Edge en transmettant votre nom d'utilisateur et votre mot de passe.
- OAuth2:échangez vos identifiants d'authentification de base Edge contre un jeton d'accès et un jeton d'actualisation OAuth2. Appelez l'API de gestion Edge en transmettant le jeton d'accès OAuth2 dans l'en-tête "Bearer" d'un appel d'API.
Edge prend en charge les fournisseurs d'identité (IDP) externes suivants pour l'authentification:
- SAML (Security Assertion Markup Language) 2.0:génèrez des accès OAuth à partir d'assertions SAML renvoyées par un fournisseur d'identité SAML.
- Lightweight Directory Access Protocol (LDAP) : utilisez les méthodes d'authentification de recherche et d'association ou d'association simple de LDAP pour générer des jetons d'accès OAuth.
Les fournisseurs d'identité SAML et LDAP sont tous deux compatibles avec un environnement d'authentification unique (SSO). En utilisant un IDP externe avec Edge, vous pouvez prendre en charge l'authentification unique pour l'UI et l'API Edge, ainsi que pour tous les autres services que vous fournissez et qui prennent également en charge votre IDP externe.
Les instructions de cette section pour activer la prise en charge des IdP externes sont différentes de celles de l'authentification externe, comme suit:
- Cette section ajoute la prise en charge de l'authentification unique (SSO)
- Cette section s'adresse aux utilisateurs de l'interface utilisateur Edge (et non à l'interface utilisateur classique)
- Cette section n'est disponible qu'à partir de la version 4.19.06
À propos de l'authentification unique Apigee
Pour prendre en charge SAML ou LDAP sur Edge, installez apigee-sso, le module d'authentification unique Apigee.
L'image suivante montre l'authentification unique Apigee dans une installation Edge pour Private Cloud:
Vous pouvez installer le module d'authentification unique Apigee sur le même nœud que l'UI Edge et le serveur de gestion, ou sur un nœud distinct. Assurez-vous qu'Apigee SSO a accès au serveur de gestion sur le port 8080.
Le port 9099 doit être ouvert sur le nœud d'authentification unique Apigee pour permettre l'accès à l'authentification unique Apigee à partir d'un navigateur, de l'IDP SAML ou LDAP externe, du serveur de gestion et de l'interface utilisateur Edge. Lors de la configuration de l'authentification unique Apigee, vous pouvez spécifier que la connexion externe utilise HTTP ou le protocole HTTPS chiffré.
L'authentification unique Apigee utilise une base de données Postgres accessible sur le port 5432 du nœud Postgres. En règle générale, vous pouvez utiliser le même serveur PostgreSQL que celui que vous avez installé avec Edge, soit un serveur PostgreSQL autonome, soit deux serveurs PostgreSQL configurés en mode maître/en attente. Si la charge sur votre serveur PostgreSQL est élevée, vous pouvez également choisir de créer un nœud PostgreSQL distinct uniquement pour l'authentification unique Apigee.
Ajout de la compatibilité avec OAuth2 dans Edge pour le cloud privé
Comme indiqué ci-dessus, l'implémentation de SAML dans Edge repose sur des jetons d'accès OAuth2.Par conséquent, la prise en charge d'OAuth2 a été ajoutée à Edge pour le cloud privé. Pour en savoir plus, consultez la page Présentation d'OAuth 2.0.
À propos de SAML
L'authentification SAML offre plusieurs avantages. Avec SAML, vous pouvez effectuer les opérations suivantes :
- Prenez le contrôle total de la gestion des utilisateurs. Lorsque des utilisateurs quittent votre organisation et qu'ils sont déprovisionnés de manière centralisée, ils se voient automatiquement refuser l'accès à Edge.
- Contrôlez la façon dont les utilisateurs s'authentifient pour accéder à Edge. Vous pouvez choisir différents types d'authentification pour différentes organisations Edge.
- Contrôler les règles d'authentification Votre fournisseur SAML peut accepter des règles d'authentification plus conformes aux normes de votre entreprise.
- Vous pouvez surveiller les connexions, les déconnexions, les tentatives de connexion infructueuses et les activités à haut risque sur votre déploiement Edge.
Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise des jetons d'accès OAuth2. Ces jetons sont générés par le module SSO Apigee qui accepte les assertions SAML renvoyées par votre IdP.
Une fois généré à partir d'une assertion SAML, le jeton OAuth est valide pendant 30 minutes et le jeton d'actualisation est valide pendant 24 heures. Votre environnement de développement peut permettre l'automatisation des tâches de développement courantes, telles que l'automatisation des tests ou l'intégration continue/le déploiement continu (CI/CD), qui nécessitent des jetons de plus longue durée. Pour savoir comment créer des jetons spéciaux pour des tâches automatisées, consultez la section Utiliser SAML avec des tâches automatisées.
À propos de LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole d'application ouvert, standard dans l'industrie, qui régit l'accès aux services d'informations d'annuaire distribués et leur maintenance. Les services d'annuaire peuvent fournir n'importe quel ensemble d'enregistrements organisés, souvent avec une structure hiérarchique, comme un répertoire d'adresses e-mail d'entreprise.
L'authentification LDAP dans le SSO Apigee utilise le module LDAP Spring Security. Par conséquent, les méthodes d'authentification et les options de configuration de la prise en charge LDAP de l'authentification unique Apigee sont directement corrélées à celles de Spring Security LDAP.
LDAP avec Edge pour le cloud privé prend en charge les méthodes d'authentification suivantes sur un serveur compatible LDAP:
- Recherche et liaison (liaison indirecte)
- Liaison simple (liaison directe)
L'authentification unique Apigee tente de récupérer l'adresse e-mail de l'utilisateur et de la mettre à jour dans son enregistrement utilisateur interne afin qu'une adresse e-mail actuelle soit enregistrée, car Edge utilise cette adresse e-mail à des fins d'autorisation.
URL de l'interface utilisateur et de l'API Edge
L'URL que vous utilisez pour accéder à l'UI Edge et à l'API de gestion Edge est la même que celle utilisée avant l'activation de SAML ou de LDAP. Pour l'UI Edge:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
Où edge_UI_IP_DNS correspond à l'adresse IP ou au nom DNS de la machine hébergeant l'UI Edge. Lors de la configuration de l'UI Edge, vous pouvez spécifier que la connexion utilise HTTP ou le protocole HTTPS chiffré.
Pour l'API de gestion Edge:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Où ms_IP_DNS est l'adresse IP ou le nom DNS du serveur de gestion. Lors de la configuration de l'API, vous pouvez spécifier que la connexion utilise HTTP ou le protocole HTTPS chiffré.
Configurer TLS sur l'authentification unique Apigee
Par défaut, la connexion à Apigee SSO utilise HTTP sur le port 9099 sur le nœud hébergeant apigee-sso, le module Apigee SSO. apigee-sso intègre une instance Tomcat qui gère les requêtes HTTP et HTTPS.
Apigee SSO et Tomcat sont compatibles avec trois modes de connexion:
- DEFAULT:la configuration par défaut accepte les requêtes HTTP sur le port 9099.
- SSL_TERMINATION::accès TLS activé à l'authentification unique Apigee sur le port de votre choix. Vous devez spécifier une clé et un certificat TLS pour ce mode.
- SSL_PROXY::configure l'authentification unique Apigee en mode proxy, ce qui signifie que vous avez installé un équilibreur de charge devant
apigee-ssoet arrêté le protocole TLS sur l'équilibreur de charge. Vous pouvez spécifier le port utilisé surapigee-ssopour les requêtes de l'équilibreur de charge.
Activer la prise en charge des fournisseurs d'identité externes pour le portail
Après avoir activé la prise en charge des fournisseurs d'identité externes pour Edge, vous pouvez également l'activer pour le portail Apigee Developer Services (ou simplement le portail). Le portail prend en charge l'authentification SAML et LDAP lors de l'envoi de requêtes à Edge. Notez que cette méthode est différente de l'authentification SAML et LDAP pour la connexion des développeurs au portail. Vous configurez l'authentification du fournisseur d'identité externe pour la connexion des développeurs séparément. Pour en savoir plus, consultez la section Configurer le portail pour utiliser des IDP.
Lors de la configuration du portail, vous devez spécifier l'URL du module d'authentification unique Apigee que vous avez installé avec Edge:
