Présentation de l'authentification IdP externe (nouvelle interface utilisateur Edge)

L'interface utilisateur Edge et l'API de gestion Edge fonctionnent en envoyant des requêtes au serveur de gestion Edge, où le serveur de gestion prend en charge les types d'authentification suivants:

  • Authentification de base:connectez-vous à l'interface utilisateur Edge ou envoyez des requêtes à l'API de gestion Edge en transmettant votre nom d'utilisateur et votre mot de passe.
  • OAuth2:échangez vos identifiants d'authentification de base Edge contre un jeton d'accès OAuth2 et un jeton d'actualisation. Effectuer des appels à l'API de gestion Edge en transmettant le jeton d'accès OAuth2 dans l'en-tête de support d'un appel d'API.

Edge prend en charge l'utilisation des fournisseurs d'identité (IdP) externes suivants pour l'authentification:

  • Security Assertion Markup Language (SAML) 2.0:générez un accès OAuth à partir d'assertions SAML renvoyées par un fournisseur d'identité SAML.
  • Lightweight Directory Access Protocol (LDAP) : utilisez les méthodes de recherche et de liaison de LDAP ou les méthodes d'authentification par liaison simple pour générer des jetons d'accès OAuth.

Les IdP SAML et LDAP sont tous deux compatibles avec un environnement d'authentification unique (SSO). En utilisant un IdP externe avec Edge, vous pouvez prendre en charge l'authentification unique pour l'interface utilisateur et l'API Edge en plus de tous les autres services que vous fournissez et qui prennent également en charge votre IdP externe.

Les instructions de cette section pour activer la prise en charge des IdP externes diffèrent de celles de l'authentification externe par les caractéristiques suivantes:

  • Cette section ajoute la prise en charge de l'authentification unique
  • Cette section s'adresse aux utilisateurs de l'interface utilisateur Edge (et non de l'interface utilisateur classique).
  • Cette section n'est compatible qu'à partir de la version 4.19.06

À propos de l'authentification unique Apigee

Pour prendre en charge SAML ou LDAP sur Edge, installez apigee-sso, le module SSO Apigee. L'image suivante montre l'authentification unique Apigee dans une installation Edge for Private Cloud:

Utilisation des ports pour l'authentification unique Apigee

Vous pouvez installer le module d'authentification unique Apigee sur le même nœud que l'interface utilisateur et le serveur de gestion Edge, ou sur son propre nœud. Assurez-vous qu'Apigee SSO a accès au serveur de gestion via le port 8080.

Le port 9099 doit être ouvert sur le nœud d'authentification unique Apigee pour permettre l'accès à l'authentification unique Apigee à partir d'un navigateur, de l'IdP externe SAML ou LDAP, du serveur de gestion et de l'interface utilisateur Edge. Lors de la configuration de l'authentification unique Apigee, vous pouvez spécifier que la connexion externe utilise le protocole HTTP ou le protocole HTTPS chiffré.

L'authentification unique Apigee utilise une base de données Postgres accessible sur le port 5432 du nœud Postgres. En règle générale, vous pouvez utiliser le même serveur Postgres que vous avez installé avec Edge, soit un serveur Postgres autonome, soit deux serveurs Postgres configurés en mode maître/veille. Si la charge sur votre serveur Postgres est élevée, vous pouvez également choisir de créer un nœud Postgres distinct réservé à Apigee SSO.

Prise en charge d'OAuth2 dans Edge for Private Cloud

Comme mentionné ci-dessus, l'implémentation Edge de SAML repose sur des jetons d'accès OAuth2.Par conséquent, la prise en charge d'OAuth2 a été ajoutée à Edge for Private Cloud. Pour en savoir plus, consultez Présentation d'OAuth 2.0.

À propos de SAML

L'authentification SAML offre plusieurs avantages. Avec SAML, vous pouvez effectuer les opérations suivantes :

  • Prenez le contrôle total de la gestion des utilisateurs. Lorsque des utilisateurs quittent votre organisation et sont déprovisionnés de manière centralisée, leur accès à Edge leur est automatiquement refusé.
  • Contrôlez la manière dont les utilisateurs s'authentifient pour accéder à Edge. Vous pouvez choisir différents types d'authentification pour différentes organisations Edge.
  • Contrôler les règles d'authentification. Votre fournisseur SAML peut prendre en charge des règles d'authentification plus conformes aux normes de votre entreprise.
  • Vous pouvez surveiller les connexions, les déconnexions, les tentatives de connexion infructueuses et les activités à haut risque sur votre déploiement Edge.

Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise des jetons d'accès OAuth2. Ces jetons sont générés par le module SSO Apigee qui accepte les assertions SAML renvoyées par votre IdP.

Une fois généré à partir d'une assertion SAML, le jeton OAuth est valide pendant 30 minutes et le jeton d'actualisation pendant 24 heures. Votre environnement de développement peut accepter l'automatisation pour des tâches de développement courantes, telles que l'automatisation des tests ou l'intégration continue/le déploiement continu (CI/CD), qui nécessitent des jetons d'une durée plus longue. Pour en savoir plus sur la création de jetons spéciaux pour les tâches automatisées, consultez la section Utiliser SAML avec les tâches automatisées.

À propos de LDAP

Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole d'application ouvert et standard dans l'industrie, qui permet d'accéder à des services d'informations d'annuaire distribués et d'en assurer la maintenance. Les services d'annuaire peuvent fournir tout ensemble organisé d'enregistrements, souvent selon une structure hiérarchique, telle qu'un annuaire de messagerie d'entreprise.

L'authentification LDAP dans Apigee SSO utilise le module LDAP Spring Security. Par conséquent, les méthodes d'authentification et les options de configuration de la prise en charge du protocole LDAP par Apigee SSO sont directement liées à celles du protocole Spring Security LDAP.

LDAP avec Edge for the Private Cloud prend en charge les méthodes d'authentification suivantes sur un serveur compatible LDAP:

  • Search and Bind (liaison indirecte)
  • Bind simple (liaison directe)

L'authentification unique Apigee tente de récupérer l'adresse e-mail de l'utilisateur et de mettre à jour son enregistrement d'utilisateur interne afin qu'une adresse e-mail soit enregistrée, car Edge utilise cette adresse e-mail à des fins d'autorisation.

Interface utilisateur Edge et URL de l'API

L'URL que vous utilisez pour accéder à l'interface utilisateur Edge et à l'API de gestion Edge est la même que celle utilisée avant l'activation de SAML ou LDAP. Pour l'interface utilisateur Edge:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

edge_UI_IP_DNS est l'adresse IP ou le nom DNS de la machine hébergeant l'interface utilisateur Edge. Dans le cadre de la configuration de l'interface utilisateur Edge, vous pouvez spécifier que la connexion utilise HTTP ou le protocole HTTPS chiffré.

Pour l'API de gestion Edge:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

ms_IP_DNS correspond à l'adresse IP ou au nom DNS du serveur de gestion. Lors de la configuration de l'API, vous pouvez spécifier que la connexion utilise le protocole HTTP ou le protocole HTTPS chiffré.

Configurer TLS sur l'authentification unique Apigee

Par défaut, la connexion à l'authentification unique Apigee utilise HTTP sur le port 9099 du nœud hébergeant apigee-sso, le module d'authentification unique Apigee. apigee-sso intègre une instance Tomcat qui gère les requêtes HTTP et HTTPS.

L'authentification unique Apigee et Tomcat acceptent trois modes de connexion:

  • PAR DÉFAUT:la configuration par défaut accepte les requêtes HTTP sur le port 9099.
  • SSL_TERMINATION::activé l'accès TLS à Apigee SSO sur le port de votre choix. Vous devez spécifier une clé et un certificat TLS pour ce mode.
  • SSL_PROXY::configure l'authentification unique Apigee en mode proxy, ce qui signifie que vous avez installé un équilibreur de charge devant apigee-sso et arrêté TLS sur l'équilibreur de charge. Vous pouvez spécifier le port utilisé sur apigee-sso pour les requêtes provenant de l'équilibreur de charge.

Activer la prise en charge des IdP externes pour le portail

Après avoir activé la prise en charge du fournisseur d'identité externe pour Edge, vous pouvez éventuellement l'activer pour le portail de services pour les développeurs Apigee (ou simplement, le portail). Le portail prend en charge l'authentification SAML et LDAP lors de l'envoi de requêtes à Edge. Notez qu'elle diffère de l'authentification SAML et LDAP pour la connexion des développeurs au portail. Vous configurez séparément l'authentification d'IdP externe pour la connexion des développeurs. Pour en savoir plus, consultez la section Configurer le portail pour utiliser des IdP.

Dans le cadre de la configuration du portail, vous devez spécifier l'URL du module d'authentification unique Apigee que vous avez installé avec Edge:

Le flux requête/réponse avec les jetons