Omówienie uwierzytelniania zewnętrznego dostawcy tożsamości (nowy interfejs użytkownika Edge)

Interfejs Edge UI i Edge Management API działają przez wysyłanie żądań do serwera zarządzania brzegiem, gdzie serwer zarządzania obsługuje następujące typy uwierzytelniania:

  • Uwierzytelnianie podstawowe: zaloguj się w interfejsie Edge lub wysyłaj żądania do funkcji zarządzania brzegiem. API przez przekazanie Twojej nazwy użytkownika i hasła.
  • OAuth2: wymiana danych uwierzytelniających Edge Basic na potrzeby dostępu OAuth2 token i token odświeżania. Wywołuj interfejs Edge Management API, przekazując dostęp OAuth2 w nagłówku Bearer wywołania interfejsu API.

Edge obsługuje uwierzytelnianie przy użyciu tych zewnętrznych dostawców tożsamości:

  • Security Assertion Markup Language (SAML) 2.0: generuj dostęp OAuth; z asercji SAML zwracanych przez dostawcę tożsamości SAML.
  • Lightweight Directory Access Protocol (LDAP): użyj wyszukiwania i powiązania LDAP lub proste metody uwierzytelniania wiążącego, aby generować tokeny dostępu OAuth.
.

Dostawcy tożsamości SAML i LDAP obsługują środowisko logowania jednokrotnego. Za pomocą zewnętrznego dostawcy tożsamości Edge umożliwia korzystanie z logowania jednokrotnego w interfejsie użytkownika i interfejsie Edge oraz w innych usługach, i która obsługuje zewnętrzny dostawca tożsamości.

Instrukcje w tej sekcji dotyczące włączania obsługi zewnętrznego dostawcy tożsamości różnią się od instrukcji Zewnętrzne uwierzytelnianie w w następujący sposób:

  • W tej sekcji dodaliśmy obsługę SSO
  • Ta sekcja jest przeznaczona dla użytkowników interfejsu Edge (nie dla klasycznego)
  • Ta sekcja jest obsługiwana tylko w wersji 4.19.06 i nowszych

Informacje o Apigee SSO

Aby obsługiwać SAML lub LDAP w Edge, musisz zainstalować apigee-sso – moduł Apigee SSO. Ten obraz przedstawia instalację Apigee SSO w Edge for Private Cloud:

Wykorzystanie portu na potrzeby logowania jednokrotnego w Apigee

Moduł logowania jednokrotnego Apigee możesz zainstalować w tym samym węźle co interfejs Edge UI i serwer zarządzania lub w osobnym węźle. Sprawdź, czy Apigee SSO ma dostęp do serwera zarządzania przez port 8080.

Port 9099 musi być otwarty w węźle Apigee SSO, aby obsługiwać dostęp do Apigee SSO z przeglądarki. z zewnętrznego dostawcy tożsamości SAML lub LDAP oraz z interfejsu użytkownika serwera zarządzania i interfejsu Edge. W ramach konfiguracji Apigee SSO, możesz określić, że połączenie zewnętrzne używa protokołu HTTP lub zaszyfrowanego HTTPS protokołu.

Apigee SSO korzysta z bazy danych Postgres dostępnej na porcie 5432 w węźle Postgres. Zazwyczaj może używać tego samego serwera Postgres, który został zainstalowany z przeglądarką Edge jako niezależnego serwera Postgres; lub 2 serwery Postgres skonfigurowane w trybie głównym/gotowym. Jeśli obciążenie Postgres serwer jest wysoki, możesz też utworzyć oddzielny węzeł Postgres tylko na potrzeby Apigee SSO.

Dodaliśmy obsługę protokołu OAuth2 do Edge dla chmury prywatnej

Jak wspomnieliśmy powyżej, implementacja SAML na brzegu sieci wymaga tokenów dostępu OAuth2. Dodaliśmy obsługę OAuth2 do Edge dla chmury prywatnej. Więcej informacji: Wprowadzenie do OAuth 2.0

Informacje o SAML

Uwierzytelnianie SAML ma kilka zalet. Korzystając z SAML, możesz:

  • Przejmij pełną kontrolę nad zarządzaniem użytkownikami. Gdy użytkownicy opuszczają organizację i wyrejestrowane centralnie, automatycznie odmówiono im dostępu do Edge.
  • Kontroluj sposób uwierzytelniania użytkowników w celu uzyskania dostępu do Edge. Możesz wybrać inne metody uwierzytelniania dla różnych organizacji Edge.
  • Kontroluj zasady uwierzytelniania. Dostawca SAML może obsługiwać zasady uwierzytelniania które są bardziej zgodne ze standardami firmowymi.
  • W do wdrożenia Edge.

Po włączeniu SAML dostęp do interfejsu Edge UI i interfejsu Edge API z użyciem tokenów dostępu OAuth2. Te tokeny są generowane przez moduł logowania jednokrotnego Apigee, który akceptuje asercje SAML zwracane przez swojego dostawcy tożsamości.

Po wygenerowaniu na podstawie potwierdzenia SAML token OAuth jest ważny przez 30 minut. Po odświeżeniu jest ważny przez 24 godziny. Twoje środowisko programistyczne może obsługiwać automatyzację zadania programistyczne, takie jak automatyzacja testów lub ciągła integracja bądź ciągłe wdrażanie; (CI/CD), które wymagają tokenów o dłuższym czasie trwania. Zobacz Używanie SAML do obsługi zadań automatycznych, aby dowiedzieć się: specjalne tokeny dla zadań automatycznych.

Informacje o LDAP

Protokół LDAP (Lightweight Directory Access Protocol) to otwarta aplikacja zgodna ze standardami branżowymi. protokołu dostępu do usług informacji katalogowych i utrzymywania ich. Katalog mogą dostarczać dowolny uporządkowany zestaw rekordów, często o strukturze hierarchicznej, takiej jak firmowego katalogu adresów e-mail.

Uwierzytelnianie LDAP w Apigee SSO korzysta z modułu LDAP Spring Security. W rezultacie metod uwierzytelniania i opcji konfiguracji na potrzeby obsługi protokołu LDAP Apigee SSO powiązane z danymi z protokołu Spring Security LDAP.

Protokół LDAP z Edge dla chmury Private Cloud obsługuje następujące metody uwierzytelniania w odniesieniu do Serwer zgodny z LDAP:

  • Wyszukaj i powiąż (wiązanie pośrednie)
  • Proste powiązanie (wiązanie bezpośrednie)
.

Apigee SSO próbuje pobrać adres e-mail użytkownika i zaktualizować jego wewnętrzny rekord użytkownika Dzięki temu będziesz mieć zapisany adres e-mail, ponieważ Edge używa go do autoryzacji. w celach informacyjnych.

Adresy URL interfejsu Edge UI i API

Adres URL, którego używasz, aby uzyskać dostęp do interfejsu Edge UI i interfejsu Edge Management API, jest taki sam jak używany wcześniej czy włączono protokół SAML lub LDAP. W interfejsie Edge:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

Gdzie edge_UI_IP_DNS to adres IP lub nazwa DNS komputera hostujący interfejs Edge. Podczas konfigurowania interfejsu Edge możesz określić, że połączenie używa HTTP lub zaszyfrowany protokół HTTPS.

W przypadku interfejsu Edge Management API:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

Gdzie ms_IP_DNS jest adresem IP lub nazwą DNS systemu zarządzania Serwer Podczas konfigurowania interfejsu API możesz określić, że połączenie używa protokołu HTTP lub zaszyfrowanego protokołu HTTPS.

Konfigurowanie TLS w Apigee SSO

Domyślnie połączenie z Apigee SSO używa HTTP przez port 9099 na hostowaniu węzła apigee-sso, moduł Apigee SSO. Wbudowany tryb apigee-sso tomcat która obsługuje żądania HTTP i HTTPS.

Apigee SSO i Tomcat obsługują 3 tryby połączenia:

  • DEFAULT: konfiguracja domyślna obsługuje żądania HTTP na porcie. 9099.
  • SSL_TERMINATION: włączono dostęp TLS do Apigee SSO na porcie wyboru. Dla tego trybu musisz określić klucz i certyfikat TLS.
  • SSL_PROXY: konfiguruje logowanie jednokrotne Apigee w trybie proxy, co oznacza, że zainstalowano system równoważenia obciążenia przed apigee-sso i zakończony TLS podczas obciążenia systemu równoważenia obciążenia. Możesz określić port używany w apigee-sso dla żądań z obciążenia systemu równoważenia obciążenia.

Włącz obsługę zewnętrznego dostawcy tożsamości dla portalu

Po włączeniu zewnętrznej obsługi dostawcy tożsamości dla Edge możesz opcjonalnie włączyć ją dla portalu usług dla programistów Apigee (lub po prostu w portalu). Portal obsługuje uwierzytelnianie SAML i LDAP przy wysyłaniu żądań do Edge. Pamiętaj, że jest to różni się od uwierzytelniania SAML i LDAP dla logowania dewelopera do portalu. Konfigurujesz Oddzielne uwierzytelnianie dostawcy tożsamości w przypadku logowania dewelopera. Zobacz Skonfiguruj portal tak, aby korzystał z dostawców tożsamości.

Podczas konfigurowania portalu musisz podać adres URL logowania jednokrotnego w Apigee Moduł zainstalowany z przeglądarką Edge:

Proces żądania/odpowiedzi z użyciem tokenów