Übersicht über die externe IdP-Authentifizierung (New Edge-Benutzeroberfläche)

Die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API stellen Anfragen an den Edge-Verwaltungsserver, wobei der Verwaltungsserver die folgenden Authentifizierungstypen unterstützt:

  • Basisauthentifizierung: Melden Sie sich bei der Edge-Benutzeroberfläche an oder stellen Sie Anfragen an die Edge Management API, indem Sie Ihren Nutzernamen und Ihr Passwort übergeben.
  • OAuth2: Tauschen Sie Ihre Edge Basic Auth-Anmeldedaten gegen ein OAuth2-Zugriffstoken und ein Aktualisierungstoken aus. Rufen Sie die Edge-Verwaltungs-API auf, indem Sie das OAuth2-Zugriffstoken im Bearer-Header eines API-Aufrufs übergeben.

Edge unterstützt die Verwendung der folgenden externen Identity Provider (IDPs) für die Authentifizierung:

  • Security Assertion Markup Language (SAML) 2.0:Generieren Sie den OAuth-Zugriff über SAML-Assertions, die von einem SAML-Identitätsanbieter zurückgegeben werden.
  • Lightweight Directory Access Protocol (LDAP): Verwenden Sie die Such- und Bind-Authentifizierungsmethoden von LDAP oder einfache Binding-Authentifizierungsmethoden, um OAuth-Zugriffstokens zu generieren.

Sowohl SAML- als auch LDAP-IdPs unterstützen eine SSO-Umgebung. Wenn Sie einen externen IdP mit Edge verwenden, können Sie die SSO für die Edge-Benutzeroberfläche und -API zusätzlich zu allen anderen Diensten unterstützen, die Sie bereitstellen und die auch Ihren externen IdP unterstützen.

Die Anleitung in diesem Abschnitt zum Aktivieren der Unterstützung externer IdPs unterscheidet sich in den folgenden Punkten von der externen Authentifizierung:

  • In diesem Abschnitt wird die SSO unterstützt.
  • Dieser Abschnitt ist für Benutzer der Edge-Benutzeroberfläche (nicht der klassischen Benutzeroberfläche) gedacht.
  • Dieser Abschnitt wird nur ab Version 4.19.06 unterstützt

Über die Apigee-SSO

Zur Unterstützung von SAML oder LDAP in Edge installieren Sie apigee-sso, das Apigee SSO-Modul. Die folgende Abbildung zeigt die Apigee-SSO in einer Edge für Private Cloud-Installation:

Portnutzung für Apigee SSO

Sie können das Apigee SSO-Modul auf demselben Knoten wie die Edge-UI und den Management Server oder auf einem eigenen Knoten installieren. Sorgen Sie dafür, dass die Apigee-SSO über Port 8080 Zugriff auf den Management Server hat.

Port 9099 muss auf dem Apigee SSO-Knoten offen sein, um den Zugriff auf die Apigee-SSO über einen Browser, über den externen SAML- oder LDAP-IdP sowie über den Management Server und die Edge-UI zu unterstützen. Beim Konfigurieren der Apigee-SSO können Sie angeben, dass die externe Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet.

Die Apigee-SSO verwendet eine Postgres-Datenbank, auf die über Port 5432 auf dem Postgres-Knoten zugegriffen werden kann. In der Regel können Sie denselben Postgres-Server verwenden, den Sie mit Edge installiert haben, entweder einen eigenständigen Postgres-Server oder zwei Postgres-Server, die im Master-/Standby-Modus konfiguriert sind. Wenn die Auslastung Ihres Postgres-Servers hoch ist, können Sie auch einen separaten Postgres-Knoten nur für die Apigee-SSO erstellen.

Unterstützung für OAuth2 in Edge for Private Cloud hinzugefügt

Wie oben erwähnt, beruht die Edge-Implementierung von SAML auf OAuth2-Zugriffstokens.Aus diesem Grund wurde in Edge für Private Cloud OAuth2-Unterstützung hinzugefügt. Weitere Informationen finden Sie unter Einführung in OAuth 2.0.

Informationen zu SAML

Die SAML-Authentifizierung bietet mehrere Vorteile. Mit SAML können Sie Folgendes tun:

  • Sie haben die volle Kontrolle über die Nutzerverwaltung. Wenn Nutzer Ihre Organisation verlassen und die Bereitstellung zentral aufgehoben wird, wird ihnen der Zugriff auf Edge automatisch verweigert.
  • Steuern Sie, wie sich Nutzer für den Zugriff auf Edge authentifizieren. Sie können verschiedene Authentifizierungstypen für verschiedene Edge-Organisationen auswählen.
  • Authentifizierungsrichtlinien steuern Möglicherweise unterstützt Ihr SAML-Anbieter Authentifizierungsrichtlinien, die eher Ihren Unternehmensstandards entsprechen.
  • Sie können Anmeldungen, Logouts, fehlgeschlagene Anmeldeversuche und risikoreiche Aktivitäten in Ihrem Edge-Deployment überwachen.

Wenn SAML aktiviert ist, werden für den Zugriff auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API OAuth2-Zugriffstokens verwendet. Diese Tokens werden vom Apigee SSO-Modul generiert, das vom IdP zurückgegebene SAML-Assertions akzeptiert.

Nach der Generierung aus einer SAML-Assertion ist das OAuth-Token 30 Minuten lang und das Aktualisierungstoken 24 Stunden gültig. Ihre Entwicklungsumgebung unterstützt möglicherweise Automatisierung für gängige Entwicklungsaufgaben wie Testautomatisierung oder Continuous Integration/Continuous Deployment (CI/CD), für die Tokens mit einer längeren Dauer erforderlich sind. Informationen zum Erstellen spezieller Tokens für automatisierte Aufgaben finden Sie unter SAML mit automatisierten Aufgaben verwenden.

Informationen zum LDAP

Lightweight Directory Access Protocol (LDAP) ist ein offenes Anwendungsprotokoll, das nach Branchenstandards für den Zugriff auf und die Verwaltung verteilter Verzeichnisinformationsdienste verwendet. Verzeichnisdienste können beliebige organisierte Datensätze bereitstellen, oft mit einer hierarchischen Struktur, z. B. einem Unternehmens-E-Mail-Verzeichnis.

Die LDAP-Authentifizierung in Apigee SSO verwendet das Spring Security LDAP-Modul. Daher stehen die Authentifizierungsmethoden und Konfigurationsoptionen für die LDAP-Unterstützung von Apigee SSO in direktem Zusammenhang mit denen in Spring Security LDAP.

LDAP mit Edge für die private Cloud unterstützt die folgenden Authentifizierungsmethoden bei einem LDAP-kompatiblen Server:

  • Suchen und binden (indirekte Bindung)
  • Einfache Bindung (direkte Bindung)

Die Apigee-SSO versucht, die E-Mail-Adresse des Nutzers abzurufen und damit den internen Nutzerdatensatz zu aktualisieren, sodass eine aktuelle E-Mail-Adresse hinterlegt ist, da Edge diese E-Mail zu Autorisierungszwecken verwendet.

Edge-Benutzeroberfläche und API-URLs

Die URL, mit der Sie auf die Edge-Benutzeroberfläche und die Edge-Verwaltungs-API zugreifen, ist die gleiche wie vor der Aktivierung von SAML oder LDAP. Für die Edge-Benutzeroberfläche:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

Dabei ist edge_UI_IP_DNS die IP-Adresse oder der DNS-Name der Maschine, auf der die Edge-UI gehostet wird. Im Rahmen der Konfiguration der Edge-Benutzeroberfläche können Sie angeben, dass die Verbindung HTTP oder das verschlüsselte HTTPS-Protokoll verwendet.

Für die Edge-Verwaltungs-API:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

Dabei ist ms_IP_DNS die IP-Adresse oder der DNS-Name des Verwaltungsservers. Beim Konfigurieren der API können Sie angeben, dass für die Verbindung das HTTP-Protokoll oder das verschlüsselte HTTPS-Protokoll verwendet werden soll.

TLS bei der Apigee-SSO konfigurieren

Standardmäßig verwendet die Verbindung zur Apigee-SSO HTTP über Port 9099 auf dem Knoten, auf dem apigee-sso, das Apigee-SSO-Modul, gehostet wird. In apigee-sso ist eine Tomcat-Instanz enthalten, die die HTTP- und HTTPS-Anfragen verarbeitet.

Apigee SSO und Tomcat unterstützen drei Verbindungsmodi:

  • DEFAULT: Die Standardkonfiguration unterstützt HTTP-Anfragen an Port 9099.
  • SSL_TERMINATION: Der TLS-Zugriff auf Apigee-SSO wurde am Port Ihrer Wahl aktiviert. Für diesen Modus müssen Sie einen TLS-Schlüssel und ein Zertifikat angeben.
  • SSL_PROXY: Konfiguriert die Apigee-SSO im Proxymodus, d. h., Sie haben vor apigee-sso einen Load-Balancer installiert und TLS auf dem Load-Balancer beendet. Sie können den Port angeben, der auf apigee-sso für Anfragen vom Load-Balancer verwendet wird.

Unterstützung externer IdPs für das Portal aktivieren

Nachdem Sie die externe IdP-Unterstützung für Edge aktiviert haben, können Sie sie optional für das Apigee Developer Services-Portal (oder einfach das Portal) aktivieren. Das Portal unterstützt die SAML- und LDAP-Authentifizierung, wenn Anfragen an Edge gestellt werden. Beachten Sie, dass sich dies von der SAML- und LDAP-Authentifizierung für die Entwickleranmeldung im Portal unterscheidet. Die externe IdP-Authentifizierung für die Entwickleranmeldung wird separat konfiguriert. Weitere Informationen finden Sie unter Portal für die Verwendung von IdPs konfigurieren.

Bei der Konfiguration des Portals müssen Sie die URL des Apigee SSO-Moduls angeben, das Sie mit Edge installiert haben:

Der Anfrage/Antwort-Ablauf mit Tokens