Edge UI 和 Edge 管理 API 會向 Edge 管理伺服器提出要求,而管理伺服器支援下列類型的驗證:
- 基本驗證:透過傳遞使用者名稱和密碼,登入 Edge UI 或向 Edge 管理 API 提出要求。
- OAuth2:將 Edge 基本驗證憑證換成 OAuth2 存取權杖和更新權杖。如要呼叫 Edge Management API,請在 API 呼叫的 Bearer 標頭中傳遞 OAuth2 存取權杖。
Edge 支援使用下列外部辨識提供者 (IDP) 進行驗證:
- 安全宣告標記語言 (SAML) 2.0:從 SAML 識別資訊提供者傳回的 SAML 斷言產生 OAuth 存取權。
- 輕量型目錄存取通訊協定 (LDAP):使用 LDAP 的搜尋與繫結驗證方法或簡易繫結驗證方法產生 OAuth 存取權杖。
SAML 和 LDAP IDP 都支援單一登入 (SSO) 環境。搭配 Edge 使用外部 IDP,就能支援 Edge UI 和 API 的單一登入 (SSO) 服務,以及您提供的任何其他服務及支援外部 IDP 的服務。
本節中啟用外部 IdP 支援的操作說明與外部驗證有以下差異:
- 這個部分新增了單一登入支援功能
- 本節適用於 Edge UI (而非傳統 UI) 的使用者
- 這個部分僅支援 4.19.06 以上版本
關於 Apigee 單一登入
如要在 Edge 上支援 SAML 或 LDAP,您必須安裝 apigee-sso,也就是 Apigee 單一登入 (SSO) 模組。下圖顯示 Edge for Private Cloud 安裝作業中的 Apigee 單一登入 (SSO) 功能:
您可以將 Apigee SSO 模組安裝在與 Edge UI 和管理伺服器相同的節點,也可以安裝在專屬節點。請確認 Apigee 單一登入 (SSO) 可透過通訊埠 8080 存取管理伺服器。
您必須在 Apigee SSO 節點上開啟 9099 連接埠,才能透過瀏覽器、外部 SAML 或 LDAP IdP 和管理伺服器和 Edge UI 存取 Apigee SSO。設定 Apigee 單一登入服務時,您可以指定外部連線使用 HTTP 或加密的 HTTPS 通訊協定。
Apigee 單一登入 (SSO) 會使用 Postgres 節點通訊埠 5432 上可存取的 Postgres 資料庫。通常,您可以使用與 Edge 安裝的 Postgres 伺服器相同的伺服器,無論是獨立的 Postgres 伺服器,還是以主/備用模式設定的兩個 Postgres 伺服器皆可。如果 Postgres 伺服器的負載過高,您也可以選擇為 Apigee SSO 建立單獨的 Postgres 節點。
新增對 Edge for Private Cloud 的 OAuth2 支援
如上所述,SAML 的 Edge 實作需要 OAuth2 存取權杖。因此,Edge for Private Cloud 的 OAuth2 支援功能已新增至 Edge。詳情請參閱「OAuth 2.0 簡介」。
關於 SAML
SAML 驗證有幾項優點。使用 SAML 可讓您:
- 全面掌控使用者管理。使用者離開貴機構並由您集中解除規定後,系統會自動拒絕他們存取 Edge。
- 控制使用者驗證 Edge 存取權的方式。您可以為不同的 Edge 機構選擇不同的驗證類型。
- 控制驗證政策。您的 SAML 供應商可支援更符合企業標準的驗證政策。
- 您可以監控 Edge 部署作業中的登入、登出、登入失敗嘗試和高風險活動。
啟用 SAML 後,Edge UI 和 Edge 管理 API 的存取權會使用 OAuth2 存取憑證。這些權杖是由 Apigee 單一登入 (SSO) 模組產生,該模組會接受 IdP 傳回的 SAML 斷言。
從 SAML 斷言產生後,OAuth 權杖的有效時間為 30 分鐘,重新整理權杖的有效時間為 24 小時。開發環境可能會支援常見的開發工作自動化作業,例如需要較長時間的權杖的自動化測試或持續整合/持續部署 (CI/CD)。如要瞭解如何為自動化工作建立特殊權杖,請參閱「使用 SAML 搭配自動化工作」一文。
關於 LDAP
輕量型目錄存取協定 (LDAP) 是開放的業界標準應用程式通訊協定,用於存取及維護分散式目錄資訊服務。目錄服務可提供任何有條理的記錄組合,通常會採用階層結構,例如公司電子郵件目錄。
Apigee SSO 中的 LDAP 驗證會使用 Spring Security LDAP 模組。因此,Apigee SSO 的 LDAP 支援驗證方法和設定選項,會直接與 Spring Security LDAP 中的驗證方法和設定選項相關聯。
搭配私有雲端的 Edge 服務的 LDAP 支援下列驗證方法,以便與相容的 LDAP 伺服器搭配使用:
- 搜尋和繫結 (間接繫結)
- 簡單繫結 (直接繫結)
Apigee SSO 會嘗試擷取使用者的電子郵件地址,並使用該地址更新內部使用者記錄,以便 Edge 使用這封電子郵件進行授權。
Edge UI 和 API 網址
您用來存取 Edge UI 和 Edge 管理 API 的網址,與啟用 SAML 或 LDAP 前所使用的網址相同。Edge UI:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
其中 edge_UI_IP_DNS 是代管 Edge UI 的機器 IP 位址或 DNS 名稱。設定 Edge UI 時,您可以指定連線使用 HTTP 或已加密的 HTTPS 通訊協定。
針對 Edge Management API:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
其中 ms_IP_DNS 是管理伺服器的 IP 位址或 DNS 名稱。在設定 API 時,您可以指定連線使用 HTTP 或加密的 HTTPS 通訊協定。
在 Apigee SSO 上設定 TLS
根據預設,連線至 Apigee SSO 會透過 HTTP 連線至代管 apigee-sso (Apigee SSO 模組) 的節點,通訊埠為 9099。內建於 apigee-sso 中是 Tomcat 執行個體,可處理 HTTP 和 HTTPS 要求。
Apigee SSO 和 Tomcat 支援三種連線模式:
- DEFAULT:預設設定支援通訊埠 9099 的 HTTP 要求。
- SSL_TERMINATION:在您選擇的通訊埠上啟用 TLS 存取 Apigee SSO 的功能。您必須為這個模式指定 TLS 金鑰和憑證。
- SSL_PROXY:以 Proxy 模式設定 Apigee SSO,表示您已在
apigee-sso前方安裝負載平衡器,並在負載平衡器上終止 TLS。您可以為負載平衡器發出的要求指定apigee-sso使用的通訊埠。
為入口網站啟用外部 IdP 支援
為 Edge 啟用外部 IdP 支援功能後,您可以選擇為 Apigee 開發人員服務入口網站 (簡稱「入口網站」) 啟用這項功能。在向 Edge 提出要求時,入口網站支援 SAML 和 LDAP 驗證。請注意,這與開發人員登入入口網站時的 SAML 和 LDAP 驗證不同。您可以為開發人員登入個別設定外部 IDP 驗證機制。詳情請參閱「設定入口網站以使用 IdP」。
在設定入口網站時,您必須指定使用 Edge 安裝的 Apigee SSO 模組網址:
