Giao diện người dùng Edge và API quản lý Edge hoạt động bằng cách gửi yêu cầu tới Máy chủ quản lý cạnh, trong đó Máy chủ quản lý hỗ trợ các loại xác thực sau:
- Xác thực cơ bản: Đăng nhập vào giao diện người dùng Edge hoặc đưa ra yêu cầu truy cập API Quản lý Edge bằng cách truyền tên người dùng và mật khẩu của bạn.
- OAuth2: Trao đổi thông tin xác thực cơ bản của Edge để lấy mã truy cập OAuth2 và mã làm mới. Thực hiện lệnh gọi đến API Quản lý Edge bằng cách truyền mã truy cập OAuth2 vào tiêu đề Mang ( Bearer) của lệnh gọi API.
Edge hỗ trợ việc xác thực bằng các nhà cung cấp nhận dạng (IDP) bên ngoài sau đây:
- Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) 2.0:Tạo quyền truy cập OAuth từ các câu nhận định SAML do nhà cung cấp danh tính SAML trả về.
- Giao thức truy cập thư mục thứ yếu (LDAP): Sử dụng tính năng tìm kiếm và liên kết của LDAP hoặc phương thức xác thực liên kết đơn giản để tạo mã truy cập OAuth.
Cả hai nhà cung cấp danh tính (IDP) SAML và LDAP đều hỗ trợ môi trường đăng nhập một lần (SSO). Khi sử dụng nhà cung cấp danh tính (IDP) bên ngoài với Edge, bạn có thể hỗ trợ tính năng SSO cho giao diện người dùng và API của Edge ngoài mọi dịch vụ khác mà bạn cung cấp và cũng hỗ trợ nhà cung cấp danh tính (IDP) bên ngoài.
Hướng dẫn trong phần này về cách bật tính năng hỗ trợ IDP bên ngoài khác với Xác thực bên ngoài ở những điểm sau:
- Phần này thêm tính năng hỗ trợ SSO
- Phần này dành cho người dùng giao diện người dùng Edge (không phải giao diện người dùng Cổ điển)
- Phần này chỉ được hỗ trợ từ phiên bản 4.19.06 trở lên
Giới thiệu về tính năng Đăng nhập một lần (SSO) của Apigee
Để hỗ trợ SAML hoặc LDAP trên Edge, bạn hãy cài đặt apigee-sso, mô-đun SSO của Apigee.
Hình ảnh sau đây minh hoạ tính năng SSO của Apigee trong một Edge để cài đặt đám mây riêng tư:
Bạn có thể cài đặt mô-đun SSO của Apigee trên cùng một nút với Giao diện người dùng và Máy chủ quản lý của Edge hoặc trên nút riêng của nó. Đảm bảo rằng Apigee SSO có quyền truy cập vào Máy chủ quản lý qua cổng 8080.
Cổng 9099 phải được mở trên nút SSO của Apigee để hỗ trợ truy cập vào Apigee SSO qua một trình duyệt, từ SAML hoặc LDAP IDP bên ngoài, cũng như từ Máy chủ quản lý và giao diện người dùng Edge. Trong quá trình định cấu hình tính năng SSO của Apigee, bạn có thể chỉ định rằng kết nối bên ngoài sử dụng HTTP hoặc giao thức HTTPS đã mã hoá.
Apigee sử dụng cơ sở dữ liệu Postgres có thể truy cập được qua cổng 5432 trên nút Postgres. Thông thường, bạn có thể sử dụng cùng một máy chủ Postgres đã cài đặt bằng Edge, một máy chủ Postgres độc lập hoặc hai máy chủ Postgres được định cấu hình ở chế độ chính/chế độ chờ. Nếu máy chủ Postgres của bạn có mức tải cao, bạn cũng có thể chọn tạo một nút Postgres riêng chỉ dành cho tính năng SSO của Apigee.
Đã thêm tính năng hỗ trợ OAuth2 lên Edge cho Đám mây riêng tư
Như đã đề cập ở trên, việc triển khai Edge cho SAML dựa trên mã truy cập OAuth2.Do đó, tính năng hỗ trợ OAuth2 đã được thêm vào Edge cho Đám mây riêng tư. Để biết thêm thông tin, hãy xem phần Giới thiệu về OAuth 2.0.
Giới thiệu về SAML
Việc xác thực SAML mang lại một số lợi thế. Khi sử dụng SAML, bạn có thể:
- Có toàn quyền kiểm soát việc quản lý người dùng. Khi người dùng rời khỏi tổ chức của bạn và bị huỷ cấp phép tập trung, họ sẽ tự động bị từ chối quyền truy cập vào Edge.
- Kiểm soát cách người dùng xác thực để truy cập vào Edge. Bạn có thể chọn nhiều loại xác thực cho các tổ chức Edge.
- Kiểm soát chính sách xác thực. Nhà cung cấp SAML của bạn có thể hỗ trợ những chính sách xác thực phù hợp hơn với các tiêu chuẩn dành cho doanh nghiệp.
- Bạn có thể giám sát các lần đăng nhập, đăng xuất, đăng nhập không thành công và các hoạt động có rủi ro cao khi triển khai Edge.
Khi bật SAML, quyền truy cập vào giao diện người dùng Edge và API quản lý Edge sẽ sử dụng mã truy cập OAuth2. Các mã thông báo này do mô-đun SSO của Apigee chấp nhận các câu xác nhận SAML mà IDP của bạn trả về.
Sau khi được tạo từ câu nhận định SAML, mã thông báo OAuth sẽ có hiệu lực trong 30 phút và mã làm mới sẽ có hiệu lực trong 24 giờ. Môi trường phát triển của bạn có thể hỗ trợ tính năng tự động hoá cho các tác vụ phát triển phổ biến, chẳng hạn như quy trình tự động kiểm thử hoặc Tích hợp liên tục/Triển khai liên tục (CI/CD), yêu cầu mã thông báo có thời gian dài hơn. Hãy xem phần Sử dụng SAML cho nhiệm vụ tự động để biết thông tin về cách tạo mã thông báo đặc biệt cho nhiệm vụ tự động.
Giới thiệu về LDAP
Giao thức truy cập thư mục hạng nhẹ (LDAP) là giao thức ứng dụng mở theo tiêu chuẩn ngành để truy cập và duy trì các dịch vụ thông tin thư mục được phân phối. Dịch vụ thư mục có thể cung cấp một bộ bản ghi có tổ chức bất kỳ, thường có cấu trúc phân cấp, chẳng hạn như một thư mục email của công ty.
Quá trình xác thực LDAP trong tính năng Đăng nhập một lần (SSO) của Apigee sử dụng mô-đun LDAP Spring Security. Do đó, các phương thức xác thực và tuỳ chọn cấu hình để hỗ trợ LDAP của Apigee SSO được liên kết trực tiếp với các phương thức xác thực và tuỳ chọn cấu hình có trong LDAP Bảo mật mùa xuân.
LDAP có Edge cho Đám mây riêng tư hỗ trợ các phương thức xác thực sau đối với một máy chủ tương thích với LDAP:
- Tìm kiếm và liên kết (liên kết gián tiếp)
- Liên kết đơn giản (liên kết trực tiếp)
Apigee tìm cách truy xuất địa chỉ email của người dùng và cập nhật hồ sơ người dùng nội bộ của ứng dụng để có một địa chỉ email hiện đang lưu trữ trong hồ sơ vì Edge dùng email này cho mục đích uỷ quyền.
URL API và giao diện người dùng Edge
URL bạn dùng để truy cập vào giao diện người dùng Edge và API quản lý Edge giống với URL đã dùng trước khi bạn bật SAML hoặc LDAP. Đối với giao diện người dùng Edge:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
Trong đó edge_UI_IP_DNS là địa chỉ IP hoặc tên DNS của máy lưu trữ giao diện người dùng Edge. Trong quá trình định cấu hình giao diện người dùng Edge, bạn có thể chỉ định rằng kết nối sử dụng HTTP hoặc giao thức HTTPS đã mã hoá.
Đối với Edge Management API (API Quản lý Edge):
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Trong đó ms_IP_DNS là địa chỉ IP hoặc tên DNS của Máy chủ quản lý. Trong quá trình định cấu hình API, bạn có thể chỉ định việc kết nối sử dụng HTTP hoặc giao thức HTTPS đã mã hoá.
Định cấu hình TLS trên tính năng Đăng nhập một lần (SSO) của Apigee
Theo mặc định, việc kết nối với Apigee SSO sẽ sử dụng HTTP qua cổng 9099 trên nút lưu trữ apigee-sso, mô-đun SSO của Apigee. Được tích hợp vào apigee-sso là một thực thể Tomcat giúp xử lý các yêu cầu HTTP và HTTPS.
Apigee SSO và Tomcat hỗ trợ 3 chế độ kết nối:
- DEFAULT:Cấu hình mặc định hỗ trợ các yêu cầu HTTP trên cổng 9099.
- SSL_TERMINATION: Cho phép truy cập qua TLS vào tính năng SSO của Apigee trên cổng mà bạn chọn. Bạn phải chỉ định khoá và chứng chỉ TLS cho chế độ này.
- SSL_PROXY: Định cấu hình quá trình đăng nhập một lần (SSO) của Apigee ở chế độ proxy, tức là bạn đã cài đặt một trình cân bằng tải trước
apigee-ssovà chấm dứt TLS trên trình cân bằng tải. Bạn có thể chỉ định cổng dùng trênapigee-ssocho các yêu cầu từ trình cân bằng tải.
Bật tính năng hỗ trợ IDP bên ngoài cho cổng
Sau khi bật dịch vụ hỗ trợ của IDP bên ngoài cho Edge, bạn có thể tuỳ ý bật dịch vụ này cho cổng Dịch vụ dành cho nhà phát triển Apigee (hoặc đơn giản là cổng). Cổng thông tin hỗ trợ xác thực SAML và LDAP khi gửi yêu cầu đến Edge. Xin lưu ý rằng quy trình này khác với xác thực SAML và LDAP để nhà phát triển đăng nhập vào cổng thông tin. Bạn định cấu hình riêng quy trình xác thực IDP bên ngoài để đăng nhập vào nhà phát triển. Xem phần Định cấu hình cổng thông tin để sử dụng IDP để biết thêm thông tin.
Trong quá trình định cấu hình cổng thông tin, bạn phải chỉ định URL của mô-đun SSO của Apigee mà bạn đã cài đặt bằng Edge:
