La UI di Edge e l'API di gestione perimetrale funzionano inviando richieste a Edge Management Server, che supporta i seguenti tipi di autenticazione:
- Autenticazione di base:accedi all'interfaccia utente di Edge o invia richieste all'API di gestione di Edge passando il tuo nome utente e la tua password.
- OAuth2: scambia le credenziali di autenticazione di base di Edge con un token di accesso OAuth2 e un token di aggiornamento. Effettua chiamate all'API di gestione di Edge passando il token di accesso OAuth2 nell'intestazione Bearer di una chiamata API.
Edge supporta l'utilizzo dei seguenti provider di identità (IdP) esterni per l'autenticazione:
- Security Assertion Markup Language (SAML) 2.0: genera questi accessi OAuth dalle asserzioni SAML restituite da un provider di identità SAML.
- Lightweight Directory Access Protocol (LDAP): utilizza i metodi di autenticazione di ricerca e binding o di binding semplice di LDAP per generare token di accesso OAuth.
Entrambi gli IdP SAML e LDAP supportano un ambiente Single Sign-On (SSO). Se utilizzi un IdP esterno con Edge, puoi supportare l'accessoSSO per l'interfaccia utente e l'API di Edge, oltre a qualsiasi altro servizio fornito che supporta anche il tuo IdP esterno.
Le istruzioni in questa sezione per abilitare il supporto degli IdP esterni sono diverse dall'autenticazione esterna per i seguenti modi:
- Questa sezione aggiunge il supporto SSO
- Questa sezione è rivolta agli utenti dell'interfaccia utente di Edge (non della versione classica)
- Questa sezione è supportata solo su 4.19.06 e versioni successive
Informazioni sull'accesso SSO di Apigee
Per supportare SAML o LDAP su Edge, devi installare apigee-sso, il modulo SSO di Apigee.
L'immagine seguente mostra l'accesso SSO di Apigee in un'installazione di Edge for Private Cloud:
Puoi installare il modulo SSO di Apigee sullo stesso nodo dell'interfaccia utente e del server di gestione di Edge o su un nodo dedicato. Assicurati che l'accesso singolo Apigee abbia accesso al server di gestione tramite la porta 8080.
La porta 9099 deve essere aperta sul nodo Apigee SSO per supportare l'accesso ad Apigee SSO da un browser, dall'IdP SAML o LDAP esterno e dal server di gestione e dall'interfaccia utente di Edge. Durante la configurazione di Apigee SSO, puoi specificare che la connessione esterna utilizzi HTTP o il protocollo HTTPS criptato.
Apigee SSO utilizza un database Postgres accessibile sulla porta 5432 del nodo Postgres. In genere, puoi utilizzare lo stesso server Postgres che hai installato con Edge, un server Postgres autonomo o due server Postgres configurati in modalità master/standby. Se il carico sul server Postgres è elevato, puoi anche scegliere di creare un nodo Postgres separato solo per l'SSO di Apigee.
Supporto aggiunto per OAuth2 a Edge per il cloud privato
Come accennato sopra, l'implementazione di SAML in Edge si basa sui token di accesso OAuth2.Pertanto, il supporto di OAuth2 è stato aggiunto a Edge per il cloud privato. Per ulteriori informazioni, consulta Introduzione a OAuth 2.0.
Informazioni su SAML
L'autenticazione SAML offre diversi vantaggi. Con SAML puoi:
- Assumi il controllo completo della gestione degli utenti. Quando gli utenti lasciano l'organizzazione ed viene eseguito il deprovisioning a livello centrale, l'accesso a Edge viene negato automaticamente.
- Controlla il modo in cui gli utenti si autenticano per accedere a Edge. Puoi scegliere diversi tipi di autenticazione per organizzazioni Edge diverse.
- Controlla i criteri di autenticazione. Il tuo provider SAML potrebbe supportare criteri di autenticazione più in linea con i tuoi standard aziendali.
- Puoi monitorare accessi, logout, tentativi di accesso non riusciti e attività ad alto rischio nel tuo deployment di Edge.
Con SAML abilitato, l'accesso alla UI e all'API di gestione Edge utilizza i token di accesso OAuth2. Questi token vengono generati dal modulo SSO di Apigee che accetta le asserzioni SAML restituite dal tuo IdP.
Una volta generato da un'affermazione SAML, il token OAuth è valido per 30 minuti e il token di aggiornamento è valido per 24 ore. L'ambiente di sviluppo potrebbe supportare l'automazione per le attività di sviluppo comuni, come l'automazione dei test o l'integrazione continua/il deployment continuo (CI/CD), che richiedono token con una durata maggiore. Consulta Utilizzare SAML con le attività automatiche per informazioni su come creare token speciali per le attività automatiche.
Informazioni su LDAP
LDPA (Lightweight Directory Access Protocol) è un protocollo di applicazione standard di settore aperto per accedere e gestire servizi di informazioni sulle directory distribuite. I servizi di directory possono fornire qualsiasi insieme organizzato di record, spesso con una struttura gerarchica, come una directory email aziendale.
L'autenticazione LDAP all'interno di Apigee SSO utilizza il modulo Spring Security LDAP. Di conseguenza, i metodi di autenticazione e le opzioni di configurazione per il supporto LDAP di Apigee SSO sono direttamente correlati a quelli presenti in Spring Security LDAP.
LDAP con Edge per il private cloud supporta i seguenti metodi di autenticazione su un server compatibile con LDAP:
- Ricerca e associazione (associazione indiretta)
- Collegamento semplice (associazione diretta)
Apigee SSO tenta di recuperare l'indirizzo email dell'utente e di aggiornare con questo il record utente interno in modo che sia registrato un indirizzo email aggiornato, poiché Edge utilizza questo indirizzo per scopi di autorizzazione.
URL API e UI Edge
L'URL che utilizzi per accedere all'interfaccia utente di Edge e all'API di gestione di Edge è lo stesso utilizzato prima di attivare SAML o LDAP. Per la UI Edge:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
dove edge_UI_IP_DNS è l'indirizzo IP o il nome DNS della macchina che ospita l'interfaccia utente di Edge. Durante la configurazione dell'interfaccia utente di Edge, puoi specificare che la connessione utilizzi HTTP o il protocollo HTTPS criptato.
Per l'API di gestione di Edge:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
dove ms_IP_DNS è l'indirizzo IP o il nome DNS del server di gestione. Durante la configurazione dell'API, puoi specificare che la connessione utilizzi HTTP o il protocollo HTTPS criptato.
Configura TLS su Apigee SSO
Per impostazione predefinita, la connessione ad Apigee SSO utilizza HTTP sulla porta 9099 sul nodo che ospitaapigee-sso, il modulo Apigee SSO. In apigee-sso c'è un'istanza Tomcat che gestisce le richieste HTTP e HTTPS.
Apigee SSO e Tomcat supportano tre modalità di connessione:
- PREDEFINITA: la configurazione predefinita supporta le richieste HTTP sulla porta 9099.
- SSL_TERMINATION: accesso TLS abilitato ad Apigee SSO sulla porta di tua scelta. Per questa modalità devi specificare una chiave e un certificato TLS.
- SSL_PROXY: configura SSO Apigee in modalità proxy, il che significa che hai installato un bilanciatore del carico davanti a
apigee-ssoe hai terminato TLS sul bilanciatore del carico. Puoi specificare la porta utilizzata suapigee-ssoper le richieste provenienti dal bilanciatore del carico.
Attivare il supporto di IdP esterni per il portale
Dopo aver abilitato il supporto IdP esterni per Edge, puoi abilitarlo facoltativamente per il portale Apigee Developer Services (o semplicemente per il portale). Il portale supporta l'autenticazione SAML e LDAP quando invii richieste a Edge. Tieni presente che questo è diverso dall'autenticazione SAML e LDAP per l'accesso degli sviluppatori al portale. Configura l'autenticazione IdP esterno per l'accesso degli sviluppatori separatamente. Per saperne di più, consulta Configurare il portale per l'utilizzo degli IdP.
Durante la configurazione del portale, devi specificare l'URL del modulo SSO di Apigee che hai installato con Edge:
