ממשק המשתמש של Edge ו-Edge Management API פועלים באמצעות שליחת בקשות לשרת הניהול של Edge, שבו שרת הניהול תומך בסוגי האימות הבאים:
- אימות בסיסי: צריך להתחבר לממשק המשתמש של Edge או לשלוח בקשות ל-Edge Management API באמצעות העברת שם המשתמש והסיסמה.
- OAuth2: החלפת פרטי הכניסה של Edge Basic Auth באסימון גישה של OAuth2 ואסימון רענון. אפשר לבצע קריאות ל-Edge Management API על ידי העברת אסימון הגישה OAuth2 בכותרת Bearer של קריאה ל-API.
Edge תומך בשימוש ב-IdPs החיצוניים הבאים לצורך אימות:
- Security Assertion Markup Language (SAML) 2.0: יצירת גישת OAuth האלה מטענות נכונות (assertions) של SAML שהוחזרו על ידי ספק זהויות של SAML.
- Lightweight Directory Access Protocol (LDAP): משתמשים בשיטות החיפוש והקישור או בשיטות האימות הפשוטות של LDAP כדי ליצור אסימוני גישה מסוג OAuth.
גם מזהי SAML וגם מזהי LDAP תומכים בסביבה של כניסה יחידה (SSO). כשמשתמשים ב-IdP חיצוני עם Edge, אפשר לתמוך ב-SSO לממשק ה-API וממשק המשתמש של Edge, בנוסף לכל השירותים האחרים שמספקים ושתומכים גם ב-IdP החיצוני.
ההוראות בקטע הזה להפעלת תמיכה ב-IdP חיצוני שונות מההוראות לאימות חיצוני באופנים הבאים:
- בקטע הזה נוספת תמיכה בכניסה יחידה
- הקטע הזה מיועד למשתמשים בממשק המשתמש של Edge (לא של ממשק המשתמש הקלאסי)
- הקטע הזה נתמך רק בגרסה 4.19.06 ואילך
מידע על כניסה יחידה (SSO) ב-Apigee
כדי לתמוך ב-SAML או ב-LDAP ב-Edge, צריך להתקין את apigee-sso, מודול ה-SSO של Apigee.
בתמונה הבאה מוצגת כניסה יחידה של Apigee ב-Edge לצורך התקנה של ענן פרטי:
אפשר להתקין את מודול ה-SSO של Apigee באותו הצומת שבו מתארח ממשק המשתמש של Edge ושרת הניהול, או בצומת משלו. מוודאים של-Apigee SSO יש גישה לשרת הניהול דרך יציאה 8080.
יציאה 9099 צריכה להיות פתוחה בצומת ה-SSO של Apigee כדי לתמוך בגישה ל-Apigee SSO מדפדפן, מ-SAML או LDAP IDP החיצוני, ומממשק המשתמש של שרת הניהול ו-Edge. במסגרת ההגדרה של כניסה יחידה (SSO) ב-Apigee, ניתן לציין שהחיבור החיצוני משתמש בפרוטוקול HTTP או בפרוטוקול HTTPS מוצפן.
ב-Apigee SSO משתמשים במסד נתונים של Postgres שניתן לגשת אליו ביציאה 5432 בצומת Postgres. בדרך כלל אפשר להשתמש באותו שרת Postgres שהתקנת עם Edge, או שרת Postgres עצמאי, או שני שרתי Postgres שמוגדרים במצב ראשי/המתנה. אם העומס על שרת Postgres שלך גבוה, אפשר גם ליצור צומת Postgres נפרד, רק עבור כניסה יחידה של Apigee.
נוספה תמיכה ב-OAuth2 ל-Edge עבור ענן פרטי
כפי שצוין למעלה, הטמעת Edge של SAML מסתמכת על אסימוני גישה מסוג OAuth2.לכן, נוספה תמיכה ב-OAuth2 ל-Edge בענן פרטי. למידע נוסף, ראו מבוא ל-OAuth 2.0.
מידע על SAML
לאימות SAML יש כמה יתרונות. באמצעות SAML אפשר:
- השליטה המלאה על ניהול המשתמשים נמצאת בידיים שלכם. כשמשתמשים עוזבים את הארגון וניהול ההקצאות המרכזי שלהם בוטל, הגישה שלהם ל-Edge נדחית באופן אוטומטי.
- שליטה באופן שבו משתמשים מבצעים אימות כדי לגשת ל-Edge. אפשר לבחור סוגי אימות שונים לארגוני Edge שונים.
- לשלוט במדיניות האימות. יכול להיות שספק ה-SAML שלך יתמוך במדיניות אימות שתואמת יותר לסטנדרטים של הארגון שלך.
- בפריסה של Edge אפשר לעקוב אחרי כניסות, התנתקות, ניסיונות התחברות כושלים ופעילויות בסיכון גבוה.
כש-SAML מופעל, הגישה לממשק המשתמש של Edge ולממשק ה-API לניהול Edge מבוססת על אסימוני גישה מסוג OAuth2. האסימונים האלה נוצרים על ידי מודול ה-SSO של Apigee, שמקבל טענות נכונות (assertions) של SAML שהוחזר על ידי ה-IdP שלך.
אחרי שאסימון ה-OAuth נוצר מטענת נכונות (assertion) של SAML, הוא תקף למשך 30 דקות ואסימון הרענון למשך 24 שעות. יכול להיות שסביבת הפיתוח תומכת באוטומציה למשימות פיתוח נפוצות, כמו אוטומציה של בדיקות או אינטגרציה רציפה (CI/CD) / פריסה רציפה (CI/CD), שמחייבות אסימונים עם משך זמן ארוך יותר. מידע נוסף על יצירת אסימונים מיוחדים למשימות אוטומטיות זמין במאמר שימוש ב-SAML עם משימות אוטומטיות.
מידע על LDAP
Lightweight Directory Access Protocol (LDAP) הוא פרוטוקול אפליקציה פתוח ומקובל בתחום, שמיועד לגישה ולתחזוקה של שירותי מידע של ספריות מבוזרות. שירותי הספרייה עשויים לספק כל קבוצת רשומות מאורגנת, בדרך כלל עם מבנה היררכי, כמו ספריית אימייל של חברה.
אימות LDAP ב-Apigee SSO משתמש במודול Spring Security LDAP. לכן יש מתאם ישיר בין שיטות האימות ואפשרויות ההגדרה לתמיכה ב-LDAP של Apigee SSO לבין אלה שניתן למצוא ב-Spring Security LDAP.
פרוטוקול LDAP עם Edge לענן הפרטי תומך בשיטות האימות הבאות מול שרת תואם LDAP:
- חיפוש וקישור (קישור עקיף)
- איגוד פשוט (קישור ישיר)
ב-Apigee SSO מתבצע ניסיון לאחזר את כתובת האימייל של המשתמש ולעדכן את רשומת המשתמש הפנימית באמצעותה, כך שכתובת האימייל הנוכחית עדיין רשומה במערכת, כי Edge משתמש בכתובת האימייל הזו למטרות הרשאה.
כתובות URL של ממשק המשתמש של Edge ו-API
כתובת ה-URL שמשמשת לגישה לממשק המשתמש של Edge ול-Edge Management API זהה לכתובת ה-URL שבה השתמשתם לפני שהפעלתם SAML או LDAP. בממשק המשתמש של Edge:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
edge_UI_IP_DNS הוא כתובת ה-IP או שם ה-DNS של המכונה שמארחת את ממשק המשתמש של Edge. כחלק מהגדרת ממשק המשתמש של Edge, אפשר לקבוע שהחיבור ישתמש ב-HTTP או בפרוטוקול HTTPS מוצפן.
ל-Edge Management API:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
כאשר ms_IP_DNS הוא כתובת ה-IP או שם ה-DNS של שרת הניהול. כחלק מהגדרת ה-API, אפשר לציין שהחיבור משתמש ב-HTTP או בפרוטוקול HTTPS מוצפן.
הגדרת TLS ב-Apigee SSO
כברירת מחדל, החיבור ל-SSO ל-Apigee משתמש ב-HTTP דרך יציאה 9099 באירוח הצומת
apigee-sso, מודול ה-SSO של Apigee. מופע של Tomcat מובנה ב-apigee-sso שמטפל בבקשות HTTP ו-HTTPS.
Apigee SSO ו-Tomcat תומכים בשלושה מצבי חיבור:
- DEFAULT: הגדרת ברירת המחדל תומכת בבקשות HTTP ביציאה 9099.
- SSL_TERMINATION: הופעלה גישת TLS ל-Apigee SSO ביציאה לבחירתכם. עליכם לציין מפתח TLS ואישור עבור המצב הזה.
- SSL_PROXY: מגדיר כניסה יחידה של Apigee במצב proxy, כלומר התקנת מאזן עומסים לפני
apigee-ssoו-TLS (אבטחת שכבת התעבורה) נסגר במאזן העומסים. אפשר לציין את היציאה שבה נעשה שימוש ב-apigee-ssoלבקשות ממאזן העומסים.
הפעלת תמיכת IDP חיצונית בפורטל
אחרי שמפעילים תמיכת IDP חיצונית ב-Edge, אפשר להפעיל אותה עבור הפורטל של Apigee Developer Services (או פשוט לפורטל). הפורטל תומך באימות SAML וב-LDAP בעת שליחת בקשות ל-Edge. חשוב לשים לב שהדבר שונה מאימות SAML ואימות LDAP להתחברות של מפתחים לפורטל. הגדרה של אימות IdP חיצוני לצורך התחברות למפתחים בנפרד. למידע נוסף, אפשר לקרוא את המאמר הגדרת הפורטל לשימוש ב-IdPs.
כחלק מהגדרת הפורטל, צריך לציין את כתובת ה-URL של מודול ה-SSO של Apigee שהתקנת עם Edge:
