Edge का यूज़र इंटरफ़ेस (यूआई) और Edge management API, Edge मैनेजमेंट सर्वर को अनुरोध भेजकर काम करते हैं. इसमें मैनेजमेंट सर्वर इस तरह की पुष्टि करने की सुविधा देता है:
- बुनियादी पुष्टि करना: Edge यूज़र इंटरफ़ेस (यूआई) में लॉग इन करें या अपना उपयोगकर्ता नाम और पासवर्ड भेजकर, Edge मैनेजमेंट एपीआई को अनुरोध करें.
- OAuth2: अपने Edge Basic Auth क्रेडेंशियल की अदला-बदली करके, OAuth2 ऐक्सेस टोकन और रीफ़्रेश टोकन पाना. एपीआई कॉल के बेयरर हेडर में OAuth2 ऐक्सेस टोकन पास करके, Edge मैनेजमेंट एपीआई को कॉल करें.
Edge, पुष्टि करने के लिए इन बाहरी आइडेंटिफ़ायर (आईडीपी) का इस्तेमाल करता है:
- सिक्योरिटी असर्शन मार्कअप लैंग्वेज (SAML) 2.0: एसएएमएल के आइडेंटिटी प्रोवाइडर से मिले दावे की मदद से, OAuth का ऐक्सेस जनरेट करें.
- लाइटवेट डायरेक्ट्री ऐक्सेस प्रोटोकॉल (एलडीएपी): OAuth ऐक्सेस टोकन जनरेट करने के लिए, LDAP की सर्च और बाइंड या आसान बाइंडिंग पुष्टि करने के तरीकों का इस्तेमाल करें.
एसएएमएल और LDAP आईडीपी, दोनों ही सिंगल साइन-ऑन (एसएसओ) एनवायरमेंट के साथ काम करते हैं. Edge के साथ बाहरी आईडीपी का इस्तेमाल करके, आप अपनी अन्य सेवाओं के साथ-साथ Edge यूज़र इंटरफ़ेस (यूआई) और एपीआई के लिए एसएसओ (SSO) सेवा का इस्तेमाल कर सकते हैं. ये सेवाएं आपके बाहरी आईडीपी के साथ भी काम करती हैं.
बाहरी आईडीपी सहायता को चालू करने के लिए इस सेक्शन में दिए गए निर्देश, इन तरीकों से बाहरी आईडीपी की पुष्टि से अलग हैं:
- इस सेक्शन में एसएसओ (SSO) सहायता जोड़ी गई है
- यह सेक्शन, Edge यूज़र इंटरफ़ेस (यूआई) के उपयोगकर्ताओं के लिए है, न कि क्लासिक यूआई के
- यह सेक्शन, सिर्फ़ 4.19.06 और उसके बाद के वर्शन पर काम करता है
Apigee एसएसओ (SSO) के बारे में जानकारी
Edge पर एसएएमएल या LDAP के साथ काम करने के लिए, आपको Apigee एसएसओ (SSO) मॉड्यूल apigee-sso को इंस्टॉल करना होगा.
नीचे दी गई इमेज में, 'निजी क्लाउड के लिए Edge' में Apigee एसएसओ (SSO) दिखाया गया है:
Apigee एसएसओ (SSO) मॉड्यूल को उसी नोड पर इंस्टॉल किया जा सकता है जिस पर Edge यूज़र इंटरफ़ेस (यूआई) और मैनेजमेंट सर्वर के लिए इस्तेमाल किया जाता है. इसके अलावा, इसे इसके खुद के नोड पर भी इंस्टॉल किया जा सकता है. पक्का करें कि Apigee एसएसओ के पास पोर्ट 8080 पर मैनेजमेंट सर्वर का ऐक्सेस है.
किसी ब्राउज़र, बाहरी एसएएमएल या LDAP आईडीपी, और मैनेजमेंट सर्वर और एज यूज़र इंटरफ़ेस (यूआई) से Apigee एसएसओ को ऐक्सेस करने के लिए, पोर्ट 9099 को Apigee एसएसओ (SSO) नोड पर खोलना चाहिए. Apigee एसएसओ (SSO) को कॉन्फ़िगर करते समय, यह तय किया जा सकता है कि बाहरी कनेक्शन, एचटीटीपी या एन्क्रिप्ट (सुरक्षित) किए गए एचटीटीपीएस प्रोटोकॉल का इस्तेमाल करता है.
Apigee एसएसओ, Postgres डेटाबेस का इस्तेमाल करता है, जिसे Postgres नोड पर पोर्ट 5432 पर ऐक्सेस किया जा सकता है. आम तौर पर, उसी Postgres सर्वर का इस्तेमाल किया जा सकता है जिसे आपने Edge के साथ इंस्टॉल किया था. इसके लिए, स्टैंडअलोन Postgres सर्वर या मास्टर/स्टैंडबाय मोड में कॉन्फ़िगर किए गए दो Postgres सर्वर इस्तेमाल किए जा सकते हैं. अगर आपके Postgres सर्वर पर लोड ज़्यादा है, तो आपके पास सिर्फ़ Apigee एसएसओ (SSO) के लिए, एक अलग Postgres नोड बनाने का विकल्प है.
प्राइवेट क्लाउड के लिए, OAuth2 से जुड़ी सहायता जोड़ी गई
जैसा कि ऊपर बताया गया है, एसएएमएल का EDGE लागू करना OAuth2 ऐक्सेस टोकन पर निर्भर करता है.इसलिए, Private Cloud के लिए OAuth2 की सुविधा जोड़ी गई है. ज़्यादा जानकारी के लिए, OAuth 2.0 के बारे में जानकारी देखें.
एसएएमएल के बारे में जानकारी
एसएएमएल पुष्टि करने के कई फ़ायदे हैं. एसएएमएल का इस्तेमाल करके:
- यूज़र मैनेजमेंट को पूरी तरह से कंट्रोल करें. जब उपयोगकर्ता आपका संगठन छोड़ देते हैं और एक ही जगह पर इस्तेमाल से बाहर कर दिए जाते हैं, तो उन्हें अपने-आप Edge का ऐक्सेस नहीं मिल जाता..
- कंट्रोल करें कि लोग Edge ऐक्सेस करने के लिए पुष्टि कैसे करेंगे. आप Edge के अलग-अलग संगठनों के लिए, पुष्टि करने के अलग-अलग तरीके चुन सकते हैं.
- पुष्टि करने की नीतियां कंट्रोल करें. आपको एसएएमएल सेवा देने वाली कंपनी, पुष्टि करने की ऐसी नीतियों के साथ काम कर सकती है जो आपके एंटरप्राइज़ स्टैंडर्ड के मुताबिक हों.
- Edge के डिप्लॉयमेंट पर लॉगिन, लॉगआउट, लॉगिन की असफल कोशिशों, और ज़्यादा जोखिम वाली गतिविधियों पर नज़र रखी जा सकती है.
एसएएमएल चालू होने पर, Edge यूज़र इंटरफ़ेस (यूआई) और Edge मैनेजमेंट एपीआई को ऐक्सेस करने के लिए, OAuth2 ऐक्सेस टोकन का इस्तेमाल किया जाता है. ये टोकन, Apigee एसएसओ (SSO) मॉड्यूल से जनरेट होते हैं, जो आपके आईडीपी से मिले एसएएमएल के दावों को स्वीकार करता है.
एसएएमएल दावे से जनरेट होने के बाद, OAuth टोकन 30 मिनट और रीफ़्रेश टोकन 24 घंटे के लिए मान्य रहता है. आपके डेवलपमेंट एनवायरमेंट में, आम तौर पर डेवलपमेंट से जुड़े टास्क के लिए, ऑटोमेशन की सुविधा काम कर सकती है. जैसे, टेस्ट ऑटोमेशन या लगातार इंटिग्रेशन/लगातार डिप्लॉयमेंट (सीआई/सीडी) करने से जुड़े टास्क, जिन्हें ज़्यादा समय वाले टोकन की ज़रूरत होती है. अपने-आप होने वाले टास्क के लिए खास टोकन बनाने के बारे में जानकारी के लिए, अपने-आप होने वाले टास्क के साथ एसएएमएल का इस्तेमाल करना देखें.
एलडीएपी के बारे में जानकारी
लाइटवेट डायरेक्ट्री ऐक्सेस प्रोटोकॉल (एलडीएपी), डिस्ट्रिब्यूटेड डायरेक्ट्री की जानकारी से जुड़ी सेवाओं को ऐक्सेस करने और उनका रखरखाव करने के लिए, इंडस्ट्री स्टैंडर्ड का एक ओपन प्रोटोकॉल है. डायरेक्ट्री सेवाएं, रिकॉर्ड का कोई भी व्यवस्थित सेट उपलब्ध करा सकती हैं. अक्सर इनका स्ट्रक्चर हैरारकी के हिसाब से होता है, जैसे कि कॉर्पोरेट ईमेल डायरेक्ट्री.
Apigee एसएसओ (SSO) में मौजूद LDAP की पुष्टि करने के तरीके में, स्प्रिंग सिक्योरिटी एलडीएपी मॉड्यूल का इस्तेमाल किया जाता है. इस वजह से, Apigee एसएसओ (SSO) की सुविधा के लिए पुष्टि करने के तरीके और कॉन्फ़िगरेशन के विकल्प, सीधे Spring Security LDAP में मौजूद होते हैं.
Private Cloud के लिए Edge वाला LDAP, LDAP के साथ काम करने वाले सर्वर की पुष्टि करने के इन तरीकों के साथ काम करता है:
- सर्च और बाइंड (इनडायरेक्ट बाइंडिंग)
- सिंपल बाइंड (डायरेक्ट बाइंडिंग)
Apigee एसएसओ, उपयोगकर्ता के ईमेल पते को पाने और उससे जुड़े उपयोगकर्ता के रिकॉर्ड को अपडेट करने की कोशिश करता है. इससे, फ़ाइल में एक मौजूदा ईमेल पता सेव रहता है, क्योंकि Edge इस ईमेल का इस्तेमाल अनुमति देने के लिए करता है.
Edge का यूज़र इंटरफ़ेस (यूआई) और एपीआई के यूआरएल
Edge यूज़र इंटरफ़ेस (यूआई) और Edge मैनेजमेंट एपीआई को ऐक्सेस करने के लिए, आपकी ओर से इस्तेमाल किया जाने वाला यूआरएल वही है जो आपने एसएएमएल या एलडीएपी को चालू करने से पहले इस्तेमाल किया था. Edge यूज़र इंटरफ़ेस (यूआई) के लिए:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
जहां edge_UI_IP_DNS, Edge यूज़र इंटरफ़ेस (यूआई) होस्ट करने वाली मशीन का आईपी पता या डीएनएस नाम है. Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करते समय, यह बताया जा सकता है कि कनेक्शन एचटीटीपी या एन्क्रिप्ट (सुरक्षित) किए गए एचटीटीपीएस प्रोटोकॉल का इस्तेमाल करता है.
Edge मैनेजमेंट एपीआई के लिए:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
जहां ms_IP_DNS, मैनेजमेंट सर्वर का आईपी पता या डीएनएस नाम है. एपीआई को कॉन्फ़िगर करते समय, यह तय किया जा सकता है कि कनेक्शन एचटीटीपी या एन्क्रिप्ट (सुरक्षित) किए गए एचटीटीपीएस प्रोटोकॉल का इस्तेमाल करे.
Apigee एसएसओ (SSO) पर TLS कॉन्फ़िगर करें
डिफ़ॉल्ट रूप से, apigee-sso को होस्ट करने वाले नोड, Apigee एसएसओ (SSO) मॉड्यूल पर, Apigee एसएसओ (SSO) से कनेक्ट करने के लिए, पोर्ट 9099 पर एचटीटीपी का इस्तेमाल किया जाता है. apigee-sso में पहले से मौजूद, एक Tomcat इंस्टेंस है, जो एचटीटीपी और एचटीटीपीएस अनुरोधों को मैनेज करता है.
Apigee एसएसओ और Tomcat, तीन कनेक्शन मोड पर काम करते हैं:
- डिफ़ॉल्ट: डिफ़ॉल्ट कॉन्फ़िगरेशन, पोर्ट 9099 पर एचटीटीपी अनुरोधों के साथ काम करता है.
- SSL_TERMINATION: आपकी पसंद के पोर्ट पर Apigee एसएसओ का TLS ऐक्सेस चालू कर दिया गया. इस मोड के लिए आपको TLS कुंजी और प्रमाणपत्र तय करना होगा.
- SSL_PROXY: यह प्रॉक्सी मोड में Apigee एसएसओ को कॉन्फ़िगर करता है. इसका मतलब है कि आपने
apigee-ssoके आगे लोड बैलेंसर इंस्टॉल किया है और लोड बैलेंसर पर TLS को खत्म कर दिया है. लोड बैलेंसर के अनुरोधों के लिए,apigee-ssoपर इस्तेमाल किया गया पोर्ट तय किया जा सकता है.
पोर्टल के लिए बाहरी आईडीपी सहायता चालू करें
Edge के लिए बाहरी आईडीपी सहायता चालू करने के बाद, विकल्प के तौर पर इसे Apigee Developer Services पोर्टल (या सामान्य तौर पर, पोर्टल) के लिए चालू किया जा सकता है. यह पोर्टल, Edge के लिए अनुरोध करते समय एसएएमएल और LDAP पुष्टि करने की सुविधा के साथ काम करता है. ध्यान दें कि यह पोर्टल में डेवलपर के लॉगिन के लिए, एसएएमएल और एलडीएपी की पुष्टि से अलग है. डेवलपर लॉगिन के लिए, बाहरी आईडीपी (IdP) की पुष्टि करने की प्रक्रिया अलग से कॉन्फ़िगर की जा सकती है. ज़्यादा जानकारी के लिए, आईडीपी का इस्तेमाल करने के लिए पोर्टल को कॉन्फ़िगर करें देखें.
पोर्टल को कॉन्फ़िगर करने के लिए, आपको Apigee एसएसओ (SSO) मॉड्यूल का यूआरएल बताना होगा जिसे आपने Edge के साथ इंस्टॉल किया था:
