Edge UI และ Edge Management API ทำงานโดยส่งคำขอไปยังเซิร์ฟเวอร์การจัดการ Edge ซึ่งเซิร์ฟเวอร์การจัดการรองรับการตรวจสอบสิทธิ์ประเภทต่อไปนี้
- การตรวจสอบสิทธิ์พื้นฐาน: เข้าสู่ระบบ Edge UI หรือส่งคำขอไปยัง Edge Management API โดยการส่งชื่อผู้ใช้และรหัสผ่านของคุณ
- OAuth2: แลกเปลี่ยนข้อมูลเข้าสู่ระบบ Edge Basic เป็นโทเค็นเพื่อการเข้าถึง OAuth2 และโทเค็นการรีเฟรช เรียกใช้ Edge Management API โดยการส่งโทเค็นเพื่อการเข้าถึง OAuth2 ในส่วนหัวสำหรับผู้ถือของการเรียก API
Edge รองรับการใช้ตัวระบุผู้ให้บริการ (IDP) ภายนอกในการตรวจสอบสิทธิ์ดังต่อไปนี้
- ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) 2.0: สร้าง OAuth จากการยืนยันสิทธิ์ SAML ที่ส่งคืนโดยผู้ให้บริการข้อมูลประจำตัว SAML
- Lightweight Directory Access Protocol (LDAP): ใช้วิธีการค้นหาและเชื่อมโยงหรือการตรวจสอบสิทธิ์การเชื่อมโยงอย่างง่ายของ LDAP เพื่อสร้างโทเค็นเพื่อการเข้าถึง OAuth
ทั้ง SAML และ LDAP IdP รองรับสภาพแวดล้อมการลงชื่อเพียงครั้งเดียว (SSO) เมื่อใช้ IdP ภายนอกกับ Edge คุณจะรองรับ SSO สำหรับ Edge UI และ API ได้ นอกเหนือจากบริการอื่นๆ ที่คุณมี รวมถึงรองรับ IdP ภายนอกของคุณด้วย
วิธีเปิดใช้การรองรับ IdP ภายนอกในส่วนนี้แตกต่างจากการตรวจสอบสิทธิ์ภายนอก ดังนี้
- ส่วนนี้เพิ่มการรองรับ SSO
- ส่วนนี้มีไว้สำหรับผู้ใช้ Edge UI (ไม่ใช่ UI แบบคลาสสิก)
- ส่วนนี้รองรับในเวอร์ชัน 4.19.06 ขึ้นไปเท่านั้น
เกี่ยวกับ SSO ของ Apigee
คุณต้องติดตั้ง apigee-sso ซึ่งเป็นโมดูล SSO ของ Apigee เพื่อรองรับ SAML หรือ LDAP ใน Edge
รูปภาพต่อไปนี้แสดง SSO ของ Apigee ใน Edge สำหรับการติดตั้ง Private Cloud
คุณจะติดตั้งโมดูล SSO ของ Apigee ในโหนดเดียวกันกับ Edge UI และเซิร์ฟเวอร์การจัดการ หรือในโหนดของตัวเองก็ได้ ตรวจสอบว่า Apigee SSO มีสิทธิ์เข้าถึงเซิร์ฟเวอร์การจัดการผ่านพอร์ต 8080
ต้องเปิดพอร์ต 9099 บนโหนด Apigee SSO เพื่อรองรับการเข้าถึง SSO ของ Apigee จากเบราว์เซอร์ จาก SAML หรือ IDP ภายนอก รวมถึงจาก Management Server และ Edge UI ในฐานะส่วนหนึ่งของการกำหนดค่า SSO ของ Apigee คุณระบุได้ว่าการเชื่อมต่อภายนอกใช้ HTTP หรือโปรโตคอล HTTPS ที่เข้ารหัส
Apigee SSO ใช้ฐานข้อมูล Postgres ที่เข้าถึงได้ทางพอร์ต 5432 บนโหนด Postgres โดยปกติแล้ว คุณจะใช้เซิร์ฟเวอร์ Postgres เดียวกันกับที่ติดตั้ง Edge ได้ โดยจะเป็นเซิร์ฟเวอร์ Postgres แบบสแตนด์อโลนหรือเซิร์ฟเวอร์ Postgres 2 เครื่องที่กำหนดค่าไว้ในโหมดหลัก/สแตนด์บายก็ได้ หากเซิร์ฟเวอร์ Postgres มีภาระงานสูง คุณจะเลือกสร้างโหนด Postgres แยกต่างหากสำหรับ Apigee SSO โดยเฉพาะได้
เพิ่มการรองรับ OAuth2 ไปยัง Edge สำหรับ Private Cloud แล้ว
ดังที่กล่าวไว้ข้างต้น การใช้งาน SAML ของ Edge อาศัยโทเค็นเพื่อการเข้าถึง OAuth2 ด้วยจึงมีการเพิ่มการรองรับ OAuth2 ไปยัง Edge สําหรับ Private Cloud ดูข้อมูลเพิ่มเติมได้ที่ข้อมูลเบื้องต้นเกี่ยวกับ OAuth 2.0
เกี่ยวกับ SAML
การตรวจสอบสิทธิ์ด้วย SAML มีข้อดีมากมาย เมื่อใช้ SAML คุณจะทำสิ่งต่อไปนี้ได้
- ควบคุมการจัดการผู้ใช้ได้อย่างเต็มที่ เมื่อผู้ใช้ออกจากองค์กรและถูกยกเลิกการจัดสรรจากส่วนกลาง ผู้ใช้ดังกล่าวจะถูกปฏิเสธการเข้าถึง Edge โดยอัตโนมัติ
- ควบคุมวิธีที่ผู้ใช้ตรวจสอบสิทธิ์เพื่อเข้าถึง Edge คุณเลือกการตรวจสอบสิทธิ์ประเภทต่างๆ สำหรับองค์กร Edge ต่างๆ ได้
- ควบคุมนโยบายการตรวจสอบสิทธิ์ ผู้ให้บริการ SAML อาจรองรับนโยบายการตรวจสอบสิทธิ์ที่สอดคล้องกับมาตรฐานขององค์กรมากกว่า
- คุณตรวจสอบการเข้าสู่ระบบ การออกจากระบบ การพยายามเข้าสู่ระบบที่ไม่สำเร็จ และกิจกรรมที่มีความเสี่ยงสูงบนการทำให้ Edge ใช้งานได้
เมื่อเปิดใช้ SAML การเข้าถึง Edge UI และ Edge Management API จะใช้โทเค็นเพื่อการเข้าถึง OAuth2 โทเค็นเหล่านี้สร้างขึ้นโดยโมดูล Apigee SSO ซึ่งยอมรับการยืนยัน SAML ที่ IdP ของคุณส่ง
เมื่อสร้างจากการยืนยันสิทธิ์ SAML แล้ว โทเค็น OAuth จะใช้ได้เป็นเวลา 30 นาทีและโทเค็นการรีเฟรชจะใช้ได้ 24 ชั่วโมง สภาพแวดล้อมในการพัฒนาซอฟต์แวร์ของคุณอาจรองรับการทำงานอัตโนมัติสำหรับงานการพัฒนาทั่วไป เช่น การทดสอบอัตโนมัติหรือการผสานรวมอย่างต่อเนื่อง/การติดตั้งใช้งานอย่างต่อเนื่อง (CI/CD) ซึ่งต้องใช้โทเค็นที่มีระยะเวลานานกว่า ดูการใช้ SAML กับงานอัตโนมัติเพื่อให้ทราบข้อมูลเกี่ยวกับการสร้างโทเค็นพิเศษสำหรับงานอัตโนมัติ
เกี่ยวกับ LDAP
Lightweight Directory Access Protocol (LDAP) เป็นโปรโตคอลแอปพลิเคชันมาตรฐานอุตสาหกรรมแบบเปิดสำหรับเข้าถึงและดูแลรักษาบริการข้อมูลไดเรกทอรีแบบกระจาย บริการไดเรกทอรีอาจมีชุดระเบียนที่มีการจัดระเบียบ และมักมีโครงสร้างเป็นลำดับชั้น เช่น ไดเรกทอรีอีเมลของบริษัท
การตรวจสอบสิทธิ์ LDAP ภายใน Apigee SSO จะใช้โมดูล Spring Security LDAP ดังนั้น วิธีการตรวจสอบสิทธิ์และตัวเลือกการกำหนดค่าสำหรับการรองรับ LDAP ของ Apigee SSO จึงมีความสัมพันธ์โดยตรงกับ Spring Security LDAP
LDAP ที่มี Edge สำหรับ Private Cloud รองรับวิธีการตรวจสอบสิทธิ์ต่อไปนี้กับเซิร์ฟเวอร์ที่เข้ากันได้กับ LDAP
- การค้นหาและเชื่อมโยง (การเชื่อมโยงโดยอ้อม)
- การเชื่อมโยงแบบง่าย (การเชื่อมโยงโดยตรง)
Apigee SSO จะพยายามเรียกอีเมลของผู้ใช้และอัปเดตระเบียนผู้ใช้ภายในของผู้ใช้เพื่อให้มีอีเมลปัจจุบันในระบบเนื่องจาก Edge ใช้อีเมลนี้เพื่อวัตถุประสงค์ในการให้สิทธิ์
Edge UI และ URL ของ API
URL ที่คุณใช้เข้าถึง Edge UI และ Edge Management API จะเหมือนกับ URL ที่ใช้ก่อนที่จะเปิดใช้ SAML หรือ LDAP สำหรับ Edge UI ให้ทำดังนี้
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
โดย edge_UI_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของเครื่องที่โฮสต์ Edge UI ในการกำหนดค่า Edge UI คุณระบุได้ว่าให้การเชื่อมต่อใช้โปรโตคอล HTTP หรือ HTTPS ที่เข้ารหัส
สำหรับ Edge Management API:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
โดย ms_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของเซิร์ฟเวอร์การจัดการ ในฐานะที่เป็นส่วนหนึ่งของการกำหนดค่า API คุณระบุได้ว่าการเชื่อมต่อนั้นใช้โปรโตคอล HTTP หรือ HTTPS ที่เข้ารหัส
กำหนดค่า TLS ใน Apigee SSO
โดยค่าเริ่มต้น การเชื่อมต่อกับ SSO ของ Apigee จะใช้ HTTP ผ่านพอร์ต 9099 บนโหนดที่โฮสต์โหนด apigee-sso ซึ่งเป็นโมดูล SSO ของ Apigee apigee-sso ในตัวคืออินสแตนซ์ Tomcat ที่จัดการคำขอ HTTP และ HTTPS
Apigee SSO และ Tomcat รองรับโหมดการเชื่อมต่อ 3 โหมด ดังนี้
- ค่าเริ่มต้น: การกำหนดค่าเริ่มต้นรองรับคำขอ HTTP บนพอร์ต 9099
- SSL_TERMINATION: เปิดใช้การเข้าถึง TLS สำหรับ Apigee SSO ในพอร์ตที่ต้องการ คุณต้องระบุคีย์ TLS และใบรับรองสำหรับโหมดนี้
- SSL_PROXY: กำหนดค่า Apigee SSO ในโหมดพร็อกซี ซึ่งหมายความว่าคุณได้ติดตั้งตัวจัดสรรภาระงานที่ด้านหน้า
apigee-ssoและยุติ TLS บนตัวจัดสรรภาระงาน คุณระบุพอร์ตที่ใช้ในapigee-ssoสำหรับคำขอจากตัวจัดสรรภาระงานได้
เปิดใช้การรองรับ IdP ภายนอกสำหรับพอร์ทัล
หลังจากเปิดใช้การรองรับ IdP ภายนอกสำหรับ Edge แล้ว คุณจะเลือกเปิดใช้กับพอร์ทัลบริการสำหรับนักพัฒนาซอฟต์แวร์ Apigee ได้ (หรือพอร์ทัลก็ได้) พอร์ทัลรองรับการตรวจสอบสิทธิ์ SAML และ LDAP เมื่อส่งคำขอไปยัง Edge โปรดทราบว่าการดำเนินการนี้แตกต่างจากการตรวจสอบสิทธิ์ SAML และ LDAP สำหรับการเข้าสู่ระบบพอร์ทัลของนักพัฒนาซอฟต์แวร์ คุณกำหนดค่าการตรวจสอบสิทธิ์ IdP ภายนอกสำหรับการเข้าสู่ระบบของนักพัฒนาซอฟต์แวร์แยกต่างหาก โปรดดูหัวข้อกำหนดค่าพอร์ทัลเพื่อใช้ IDP สำหรับข้อมูลเพิ่มเติม
ในการกำหนดค่าพอร์ทัล คุณต้องระบุ URL ของโมดูล SSO ของ Apigee ที่คุณติดตั้งด้วย Edge ดังนี้
