Edge kullanıcı arayüzü ve Edge yönetim API'si, Edge yönetim sunucusuna istek göndererek çalışır. Yönetim sunucusu aşağıdaki kimlik doğrulama türlerini destekler:
- Temel kimlik doğrulama: Edge kullanıcı arayüzüne giriş yapın veya kullanıcı adınızı ve şifrenizi göndererek Edge yönetim API'sine istek gönderin.
- OAuth2: Edge Temel Kimlik Doğrulama kimlik bilgilerinizi OAuth2 erişim jetonu ve yenileme jetonuyla değiştirin. Bir API çağrısının Bearer üst bilgisinde OAuth2 erişim jetonunu geçirerek Edge yönetim API'sine çağrı yapın.
Edge, kimlik doğrulama için aşağıdaki harici kimlik sağlayıcıların (IDP'ler) kullanılmasını destekler:
- Güvenlik Onayı Biçimlendirme Dili (SAML) 2.0: Bunlara, SAML kimlik sağlayıcısı tarafından döndürülen SAML onaylarından OAuth erişimi oluşturun.
- Basit Dizin Erişim Protokolü (LDAP): OAuth erişim jetonları oluşturmak için LDAP'nin arama ve bağlama veya basit bağlama kimlik doğrulama yöntemlerini kullanın.
Hem SAML hem de LDAP kimlik sağlayıcıları tek oturum açma (TOA) ortamını destekler. Edge ile harici bir kimlik sağlayıcı kullanarak, sağladığınız ve harici kimlik sağlayıcınızı da destekleyen diğer hizmetlerin yanı sıra Edge kullanıcı arayüzü ve API için TOA'yı destekleyebilirsiniz.
Bu bölümde harici IdP desteğini etkinleştirme talimatları, Harici kimlik doğrulama'dan aşağıdaki şekillerde farklıdır:
- Bu bölümde TOA desteği eklenir
- Bu bölüm, Edge kullanıcı arayüzünün (Klasik kullanıcı arayüzü değil) kullanıcıları içindir.
- Bu bölüm yalnızca 4.19.06 ve sonraki sürümlerde desteklenir.
Apigee TOA hakkında
Edge'de SAML veya LDAP'yi desteklemek için Apigee TOA modülü olan apigee-sso uygulamasını yüklemeniz gerekir.
Aşağıdaki resimde, Private Cloud için Edge kurulumunda Apigee TOA gösterilmektedir:
Apigee TOA modülünü Edge kullanıcı arayüzü ve yönetim sunucusuyla aynı düğüme veya kendi düğümüne yükleyebilirsiniz. Apigee SSO'nun 8080 numaralı bağlantı noktası üzerinden Yönetim Sunucusu'na erişebildiğinden emin olun.
Apigee TOA'ya tarayıcıdan, harici SAML veya LDAP IdP'den, Yönetim Sunucusu'ndan ve Edge kullanıcı arayüzünden erişimi desteklemek için Apigee TOA düğümünde 9099 numaralı bağlantı noktasının açık olması gerekir. Apigee SSO'yu yapılandırırken harici bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanacağını belirtebilirsiniz.
Apigee SSO, Postgres düğümündeki 5432 numaralı bağlantı noktasından erişilebilen bir Postgres veritabanı kullanır. Genellikle Edge ile yüklediğiniz Postgres sunucusunu (bağımsız bir Postgres sunucusu veya ana/bekleme modunda yapılandırılmış iki Postgres sunucusu) kullanabilirsiniz. Postgres sunucunuzdaki yük yüksekse yalnızca Apigee TOA için ayrı bir Postgres düğümü oluşturmayı da seçebilirsiniz.
Private Cloud için Edge'e OAuth2 desteği eklendi
Yukarıda belirtildiği gibi, SAML'nin Edge uygulaması OAuth2 erişim jetonlarına dayanır.Bu nedenle, Private Cloud için Edge'e OAuth2 desteği eklenmiştir. Daha fazla bilgi için OAuth 2.0'a giriş başlıklı makaleyi inceleyin.
SAML hakkında
SAML kimlik doğrulaması çeşitli avantajlar sunar. SAML kullanarak:
- Kullanıcı yönetiminin tam kontrolünü ele alın. Kullanıcılar kuruluşunuzdan ayrıldığında ve merkezi olarak temel hazırlığı kaldırıldığında Edge'e erişimleri otomatik olarak reddedilir.
- Kullanıcıların Edge'e erişmek için kimlik doğrulamasını nasıl yapacağını kontrol edin. Farklı Edge kuruluşları için farklı kimlik doğrulama türleri seçebilirsiniz.
- Kimlik doğrulama politikalarını kontrol etme. SAML sağlayıcınız, kuruluş standartlarınıza daha uygun kimlik doğrulama politikalarını destekleyebilir.
- Edge dağıtımınızda giriş işlemlerini, çıkışları, başarısız giriş denemelerini ve yüksek riskli etkinlikleri izleyebilirsiniz.
SAML etkinken Edge kullanıcı arayüzüne ve Edge yönetim API'sine erişim için OAuth2 erişim jetonları kullanılır. Bu jetonlar, kimlik sağlayıcınız tarafından döndürülen SAML beyanlarını kabul eden Apigee TOA modülü tarafından oluşturulur.
SAML onayından oluşturulduktan sonra OAuth jetonu 30 dakika, yenileme jetonu ise 24 saat boyunca geçerlidir. Geliştirme ortamınız, test otomasyonu veya sürekli entegrasyon/sürekli dağıtım (CI/CD) gibi daha uzun süreli jetonlar gerektiren yaygın geliştirme görevleri için otomasyonu destekleyebilir. Otomatik görevler için özel jetonlar oluşturma hakkında bilgi edinmek isterseniz Otomatik görevler ile SAML'yi kullanma başlıklı makaleyi inceleyin.
LDAP hakkında
Basit Dizin Erişim Protokolü (LDAP), dağıtılmış dizin bilgi hizmetlerine erişmek ve bu hizmetleri yönetmek için kullanılan açık, endüstri standardı bir uygulama protokolüdür. Dizin hizmetleri, genellikle hiyerarşik bir yapıya sahip olan herhangi bir kayıt grubu (ör. kurumsal e-posta dizini) sağlayabilir.
Apigee TOA'daki LDAP kimlik doğrulaması, Spring Security LDAP modülünü kullanır. Sonuç olarak, Apigee SSO'nun LDAP desteği için kimlik doğrulama yöntemleri ve yapılandırma seçenekleri, Spring Security LDAP'de bulunanlarla doğrudan ilişkilidir.
Özel Bulut için Edge ile LDAP, LDAP uyumlu bir sunucuda aşağıdaki kimlik doğrulama yöntemlerini destekler:
- Ara ve Bağla (dolaylı bağlama)
- Basit Bağlama (doğrudan bağlama)
Edge, yetkilendirme amacıyla bu e-posta adresini kullandığından Apigee TOA, kullanıcının e-posta adresini alıp dahili kullanıcı kaydını dosyada geçerli bir e-posta adresi olacak şekilde güncellemeyi dener.
Edge kullanıcı arayüzü ve API URL'leri
Edge kullanıcı arayüzüne ve Edge yönetim API'sine erişmek için kullandığınız URL, SAML veya LDAP'yi etkinleştirmeden öncekiyle aynıdır. Edge kullanıcı arayüzü için:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
Burada edge_UI_IP_DNS, Edge kullanıcı arayüzünü barındıran makinenin IP adresi veya DNS adıdır. Edge kullanıcı arayüzünü yapılandırırken bağlantının HTTP mi yoksa şifrelenmiş HTTPS protokolü mü kullanacağını belirtebilirsiniz.
Edge management API için:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Burada ms_IP_DNS, yönetim sunucusunun IP adresi veya DNS adıdır. API'yi yapılandırmanın bir parçası olarak, bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanmasını belirtebilirsiniz.
Apigee TOA'da TLS'yi yapılandırma
Apigee TOA'ya bağlantı varsayılan olarak apigee-sso (Apigee TOA modülü) barındıran düğümdeki 9099 numaralı bağlantı noktası üzerinden HTTP kullanır. apigee-sso ürününde, HTTP ve HTTPS isteklerini işleyen bir Tomcat örneği bulunur.
Apigee TOA ve Tomcat üç bağlantı modunu destekler:
- VARSAYILAN: Varsayılan yapılandırma, 9099 bağlantı noktasındaki HTTP isteklerini destekler.
- SSL_TERMINATION: Seçtiğiniz bağlantı noktasında Apigee TOA'ya TLS erişimi etkinleştirildi. Bu mod için bir TLS anahtarı ve sertifikası belirtmeniz gerekir.
- SSL_PROXY: Apigee TOA'yı proxy modunda yapılandırır. Bu,
apigee-sso'nin önüne bir yük dengeleyici yüklediğiniz ve yük dengeleyicide TLS'yi sonlandırdığınız anlamına gelir. Yük dengeleyiciden gelen istekler içinapigee-ssoüzerinde kullanılan bağlantı noktasını belirtebilirsiniz.
Portal için harici kimlik sağlayıcı desteğini etkinleştirme
Edge için harici IdP desteğini etkinleştirdikten sonra isteğe bağlı olarak Apigee Developer Services portalı (veya kısaca portal) için de etkinleştirebilirsiniz. Portal, Edge'e istek gönderirken SAML ve LDAP kimlik doğrulamasını destekler. Bunun, geliştiricilerin portala girişi için kullanılan SAML ve LDAP kimlik doğrulamasından farklı olduğunu unutmayın. Geliştirici girişi için harici IdP kimlik doğrulamasını ayrı olarak yapılandırırsınız. Daha fazla bilgi için Portalı IdP'leri kullanacak şekilde yapılandırma bölümüne bakın.
Portalı yapılandırmanın bir parçası olarak, Edge ile yüklediğiniz Apigee TOA modülünün URL'sini belirtmeniz gerekir:
