ภาพรวมของการตรวจสอบสิทธิ์ IDP ภายนอก (UI ของ Edge ใหม่)

Edge UI และ Edge Management API จะทำงานด้วยการส่งคำขอไปยังเซิร์ฟเวอร์การจัดการ Edge ซึ่งเซิร์ฟเวอร์การจัดการรองรับการตรวจสอบสิทธิ์ประเภทต่อไปนี้

  • การตรวจสอบสิทธิ์พื้นฐาน: เข้าสู่ระบบ UI ของ Edge หรือส่งคําขอไปยัง Edge Management API โดยส่งชื่อผู้ใช้และรหัสผ่าน
  • OAuth2: แลกเปลี่ยนข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์พื้นฐานของ Edge เพื่อรับโทเค็นการเข้าถึงและโทเค็นการรีเฟรช OAuth2 เรียกใช้ API การจัดการ Edge ด้วยการส่งโทเค็นการเข้าถึง OAuth2 ในส่วนหัว Bearer ของการเรียก API

Edge รองรับการใช้ผู้ให้บริการข้อมูลประจำตัว (IdP) ภายนอกต่อไปนี้สำหรับการตรวจสอบสิทธิ์

  • ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) 2.0: สร้างการเข้าถึง OAuth จากข้อความยืนยัน SAML ที่ผู้ให้บริการข้อมูลประจำตัว SAML แสดง
  • Lightweight Directory Access Protocol (LDAP): ใช้การค้นหาและการเชื่อมโยงของ LDAP หรือวิธีการตรวจสอบสิทธิ์การเชื่อมโยงแบบง่ายเพื่อสร้างโทเค็นการเข้าถึง OAuth

ทั้ง SAML และ LDAP IDP รองรับสภาพแวดล้อมการลงชื่อเพียงครั้งเดียว (SSO) การใช้ IdP ภายนอกกับ Edge จะช่วยให้คุณสามารถรองรับ SSO สำหรับ Edge UI และ API นอกเหนือจากบริการอื่นๆ ที่คุณมี และที่รองรับ IdP ภายนอกด้วย

วิธีการในส่วนนี้เพื่อเปิดใช้การรองรับ IdP ภายนอกแตกต่างจากการตรวจสอบสิทธิ์ภายนอกดังนี้

  • ส่วนนี้จะเพิ่มการรองรับ SSO
  • ส่วนนี้มีไว้สำหรับผู้ใช้ UI ของ Edge (ไม่ใช่ UI แบบคลาสสิก)
  • ส่วนนี้ใช้ได้ใน 4.19.06 ขึ้นไปเท่านั้น

เกี่ยวกับ SSO ของ Apigee

หากต้องการรองรับ SAML หรือ LDAP ใน Edge ให้ติดตั้ง apigee-sso ซึ่งเป็นโมดูล SSO ของ Apigee รูปภาพต่อไปนี้แสดง SSO ของ Apigee ในการติดตั้ง Edge สำหรับ Private Cloud

การใช้งานพอร์ตสําหรับ SSO ของ Apigee

คุณสามารถติดตั้งโมดูล SSO ของ Apigee ในโหนดเดียวกับ UI และเซิร์ฟเวอร์การจัดการของ Edge หรือในโหนดของตัวเองก็ได้ ตรวจสอบว่า Apigee SSO มีสิทธิ์เข้าถึงเซิร์ฟเวอร์การจัดการผ่านพอร์ต 8080

พอร์ต 9099 ต้องเปิดอยู่ในโหนด SSO ของ Apigee เพื่อรองรับการเข้าถึง SSO ของ Apigee จากเบราว์เซอร์ จาก IdP ภายนอกของ SAML หรือ LDAP และจากเซิร์ฟเวอร์การจัดการและ UI ของ Edge ในการกำหนดค่า SSO ของ Apigee คุณสามารถระบุว่าการเชื่อมต่อภายนอกใช้ HTTP หรือโปรโตคอล HTTPS ที่เข้ารหัสได้

Apigee SSO ใช้ฐานข้อมูล Postgres ที่เข้าถึงได้บนพอร์ต 5432 ในโหนด Postgres โดยปกติแล้ว คุณจะใช้เซิร์ฟเวอร์ Postgres เดียวกันกับที่ติดตั้งกับ Edge ได้ ไม่ว่าจะเป็นเซิร์ฟเวอร์ Postgres แบบสแตนด์อโลนหรือเซิร์ฟเวอร์ Postgres 2 เครื่องที่กำหนดค่าไว้ในโหมดหลัก/สแตนด์บาย หากเซิร์ฟเวอร์ Postgres ของคุณมีภาระงานสูง คุณสามารถเลือกสร้างโหนด Postgres แยกต่างหากสำหรับ SSO ของ Apigee เท่านั้นได้

เพิ่มการรองรับ OAuth2 ไปยัง Edge สำหรับ Private Cloud แล้ว

ดังที่กล่าวไว้ข้างต้น การใช้งาน Edge ของ SAML ต้องใช้โทเค็นเพื่อการเข้าถึง OAuth2 ด้วยเหตุนี้ เราจึงได้เพิ่มการรองรับ OAuth2 ไปยัง Edge for Private Cloud แล้ว ดูข้อมูลเพิ่มเติมได้ที่ข้อมูลเบื้องต้นเกี่ยวกับ OAuth 2.0

เกี่ยวกับ SAML

การตรวจสอบสิทธิ์ SAML มีข้อดีหลายอย่าง เมื่อใช้ SAML คุณจะทำสิ่งต่อไปนี้ได้

  • ควบคุมการจัดการผู้ใช้โดยสมบูรณ์ เมื่อผู้ใช้ออกจากองค์กรและมีการยกเลิกการจัดสรรจากส่วนกลาง ผู้ใช้เหล่านั้นจะถูกปฏิเสธไม่ให้เข้าถึง Edge โดยอัตโนมัติ
  • ควบคุมวิธีที่ผู้ใช้ตรวจสอบสิทธิ์เพื่อเข้าถึง Edge คุณเลือกการตรวจสอบสิทธิ์ประเภทต่างๆ สำหรับองค์กร Edge ที่แตกต่างกันได้
  • ควบคุมนโยบายการตรวจสอบสิทธิ์ ผู้ให้บริการ SAML อาจรองรับนโยบายการตรวจสอบสิทธิ์ที่สอดคล้องกับมาตรฐานขององค์กรมากกว่า
  • คุณสามารถตรวจสอบการเข้าสู่ระบบ การออกจากระบบ ความพยายามในการเข้าสู่ระบบที่ไม่สำเร็จ และกิจกรรมที่มีความเสี่ยงสูงในการใช้งาน Edge

เมื่อเปิดใช้ SAML แล้ว การเข้าถึง Edge UI และ Edge Management API จะใช้โทเค็นเพื่อการเข้าถึง OAuth2 โทเค็นเหล่านี้สร้างขึ้นโดยโมดูล SSO ของ Apigee ซึ่งยอมรับการยืนยัน SAML ที่ส่งคืนโดย IdP ของคุณ

เมื่อสร้างจากข้อความยืนยัน SAML แล้ว โทเค็น OAuth จะใช้งานได้ 30 นาทีและโทเค็นรีเฟรชจะใช้งานได้ 24 ชั่วโมง สภาพแวดล้อมการพัฒนาอาจรองรับการทำงานอัตโนมัติสําหรับงานพัฒนาทั่วไป เช่น การทํางานอัตโนมัติของชุดทดสอบหรือการรวมอย่างต่อเนื่อง/การติดตั้งใช้งานอย่างต่อเนื่อง (CI/CD) ซึ่งต้องใช้โทเค็นที่มีระยะเวลานานขึ้น ดูข้อมูลเกี่ยวกับการสร้างโทเค็นพิเศษสำหรับงานอัตโนมัติได้ที่การใช้ SAML กับงานอัตโนมัติ

เกี่ยวกับ LDAP

Lightweight Directory Access Protocol (LDAP) เป็นโปรโตคอลแอปพลิเคชันมาตรฐานอุตสาหกรรมแบบเปิดสําหรับการเข้าถึงและดูแลรักษาบริการข้อมูลไดเรกทอรีแบบกระจาย บริการไดเรกทอรีอาจให้ชุดระเบียนที่จัดระเบียบไว้ ซึ่งมักมีโครงสร้างแบบลําดับชั้น เช่น ไดเรกทอรีอีเมลขององค์กร

การตรวจสอบสิทธิ์ LDAP ภายใน Apigee SSO ใช้โมดูล Spring Security LDAP ด้วยเหตุนี้ วิธีการตรวจสอบสิทธิ์และตัวเลือกการกำหนดค่าสำหรับการรองรับ LDAP ของ Apigee SSO จึงเชื่อมโยงโดยตรงกับวิธีและตัวเลือกที่พบใน Spring Security LDAP

LDAP ที่มี Edge สำหรับระบบคลาวด์ส่วนตัวรองรับวิธีการตรวจสอบสิทธิ์ต่อไปนี้กับเซิร์ฟเวอร์ที่เข้ากันได้กับ LDAP

  • ค้นหาและเชื่อมโยง (การเชื่อมโยงโดยอ้อม)
  • การเชื่อมโยงแบบง่าย (การเชื่อมโยงโดยตรง)

Apigee SSO จะพยายามดึงข้อมูลอีเมลของผู้ใช้และอัปเดตระเบียนผู้ใช้ภายในด้วยอีเมลดังกล่าวเพื่อให้มีอีเมลปัจจุบันอยู่ในระบบ เนื่องจาก Edge ใช้อีเมลนี้เพื่อวัตถุประสงค์ในการให้สิทธิ์

URL ของ UI และ API ของ Edge

URL ที่คุณใช้เข้าถึง UI ของ Edge และ Edge Management API จะเหมือนกับที่ใช้ก่อนเปิดใช้ SAML หรือ LDAP สำหรับ UI ของ Edge

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

โดยที่ edge_UI_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของเครื่องที่โฮสต์ UI ของ Edge ในการกำหนดค่า Edge UI คุณระบุได้ว่าการเชื่อมต่อใช้ HTTP หรือโปรโตคอล HTTPS ที่เข้ารหัส

สำหรับ Edge Management API

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

โดยที่ ms_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของเซิร์ฟเวอร์การจัดการ ในการกําหนดค่า API คุณสามารถระบุให้การเชื่อมต่อใช้ HTTP หรือโปรโตคอล HTTPS ที่เข้ารหัส

กำหนดค่า TLS ใน SSO ของ Apigee

โดยค่าเริ่มต้น การเชื่อมต่อกับ Apigee SSO จะใช้ HTTP ผ่านพอร์ต 9099 ในโหนดที่โฮสต์ apigee-sso ซึ่งเป็นโมดูล Apigee SSO apigee-sso มีอินสแตนซ์ Tomcat ที่จัดการคําขอ HTTP และ HTTPS ในตัว

Apigee SSO และ Tomcat รองรับโหมดการเชื่อมต่อ 3 โหมด ได้แก่

  • ค่าเริ่มต้น: การกําหนดค่าเริ่มต้นรองรับคําขอ HTTP ในพอร์ต 9099
  • SSL_TERMINATION: เปิดใช้การเข้าถึง TLS ของ Apigee SSO บนพอร์ตที่คุณเลือก คุณต้องระบุคีย์ TLS และใบรับรองสำหรับโหมดนี้
  • SSL_PROXY: กําหนดค่า Apigee SSO ในโหมดพร็อกซี ซึ่งหมายความว่าคุณได้ติดตั้งตัวจัดสรรภาระงานไว้ด้านหน้า apigee-sso และสิ้นสุด TLS ในตัวจัดสรรภาระงาน คุณสามารถระบุพอร์ตที่ใช้ใน apigee-sso สำหรับคำขอจากเครื่องกระจายภาระ

เปิดใช้การรองรับ IDP ภายนอกสําหรับพอร์ทัล

หลังจากเปิดใช้การรองรับ IdP ภายนอกสำหรับ Edge แล้ว คุณจะเลือกเปิดใช้กับพอร์ทัล Apigee Developer Services (หรือเรียกง่ายๆ ว่าพอร์ทัลก็ได้) ก็ได้ พอร์ทัลรองรับการตรวจสอบสิทธิ์ SAML และ LDAP เมื่อส่งคำขอไปยัง Edge โปรดทราบว่าการตรวจสอบสิทธิ์นี้แตกต่างจากการตรวจสอบสิทธิ์ SAML และ LDAP สำหรับการเข้าสู่ระบบพอร์ทัลของนักพัฒนาแอป คุณต้องกำหนดค่าการตรวจสอบสิทธิ์ IdP ภายนอกสำหรับการเข้าสู่ระบบของนักพัฒนาแอปแยกต่างหาก ดูข้อมูลเพิ่มเติมได้ที่กำหนดค่าพอร์ทัลให้ใช้ IdP

ในการกําหนดค่าพอร์ทัล คุณต้องระบุ URL ของโมดูล SSO ของ Apigee ที่คุณติดตั้งไว้กับ Edge โดยทำดังนี้

ขั้นตอนการส่งคำขอ/การตอบกลับด้วยโทเค็น