La UI e l'API di gestione perimetrale operano inviando richieste a Edge Management Server, in cui il server di gestione supporta i seguenti tipi di autenticazione:
- Autenticazione di base: accedi alla UI di Edge o invia richieste alla gestione perimetrale API inserendo il tuo nome utente e la tua password.
- OAuth2:scambia le credenziali di autenticazione Edge di base con un accesso OAuth2 e aggiornare il token. Effettuare chiamate all'API di gestione perimetrale trasmettendo l'accesso OAuth2 nell'intestazione di connessione di una chiamata API.
Edge supporta l'utilizzo dei seguenti provider di identità (IdP) esterni per l'autenticazione:
- SAML (Security Assertion Markup Language) 2.0:genera l'accesso OAuth questi da asserzioni SAML restituite da un provider di identità SAML.
- LDAP (Lightweight Directory Access Protocol): utilizza la ricerca e il binding di LDAP semplici metodi di autenticazione a associazione per generare token di accesso OAuth.
Entrambi gli IdP SAML e LDAP supportano un ambiente Single Sign-On (SSO). Tramite un IdP esterno con Edge, puoi supportare l'accesso SSO per l'API e la UI di Edge, oltre che per qualsiasi altro servizio che forniscono e che supportano il tuo IdP esterno.
Le istruzioni in questa sezione per abilitare il supporto degli IdP esterni sono diverse dalla Autenticazione esterna nel nei seguenti modi:
- Questa sezione aggiunge il supporto SSO
- Questa sezione è rivolta agli utenti della UI Edge (non della UI classica)
- Questa sezione è supportata solo dalla versione 4.19.06 in poi
Informazioni sull'accesso SSO di Apigee
Per supportare SAML o LDAP su Edge, devi installare apigee-sso
, il modulo SSO di Apigee.
L'immagine seguente mostra l'accesso SSO di Apigee in un'installazione di Edge per il cloud privato:
Puoi installare il modulo SSO di Apigee sullo stesso nodo della UI e del server di gestione Edge oppure sul proprio nodo. Assicurati che l'accesso SSO di Apigee abbia accesso al server di gestione tramite la porta 8080.
La porta 9099 deve essere aperta sul nodo SSO di Apigee per supportare l'accesso ad Apigee SSO da un browser. dal SAML o dall'IdP LDAP esterno e dalla UI di Management Server e Edge. Nell'ambito della configurazione SSO di Apigee, puoi specificare che la connessione esterna utilizzi HTTP o il protocollo HTTPS criptato protocollo.
Il servizio SSO di Apigee utilizza un database Postgres accessibile sulla porta 5432 sul nodo Postgres. Di solito puoi usare lo stesso server Postgres che hai installato con Edge, come un modulo Postgres autonomo o due server Postgres configurati in modalità master/standby. Se il carico su Postgres se il server è alto, puoi anche scegliere di creare un nodo Postgres separato solo per Apigee SSO.
Supporto aggiunto per OAuth2 a Edge per il cloud privato
Come già detto, l'implementazione Edge di SAML si basa su token di accesso OAuth2. Il supporto OAuth2 è stato aggiunto a Edge per il cloud privato. Per ulteriori informazioni, vedi Introduzione a OAuth 2.0.
Informazioni su SAML
L'autenticazione SAML offre diversi vantaggi. Con SAML puoi:
- Assumi il controllo completo della gestione degli utenti. Quando gli utenti lasciano l'organizzazione e vengono di cui viene eseguito il deprovisioning a livello centrale, viene automaticamente negato l'accesso a Edge.
- Controlla il modo in cui gli utenti si autenticano per accedere a Edge. Puoi scegliere metodi di autenticazione diversi per le diverse organizzazioni Edge.
- Controlla i criteri di autenticazione. Il tuo provider SAML potrebbe supportare i criteri di autenticazione più in linea con gli standard della tua azienda.
- Puoi monitorare gli accessi, le disconnessioni, i tentativi di accesso non riusciti e le attività ad alto rischio su del deployment Edge.
Con SAML abilitato, l'accesso alla UI e all'API di gestione Edge utilizza i token di accesso OAuth2. Questi token vengono generati dal modulo SSO di Apigee che accetta le asserzioni SAML restituite dal il tuo IdP.
Una volta generato da un'asserzione SAML, il token OAuth è valido per 30 minuti e sia valido per 24 ore. Il tuo ambiente di sviluppo potrebbe supportare l'automazione per attività di sviluppo, come l'automazione dei test o l'integrazione continua/deployment continuo (CI/CD), che richiedono token con una durata maggiore. Consulta Utilizzare SAML con attività automatizzate per ottenere informazioni su creando token speciali per le attività automatizzate.
Informazioni su LDAP
Il protocollo LDAP (Lightweight Directory Access Protocol) è un'applicazione aperta standard del settore protocollo per l'accesso e la gestione dei servizi di informazioni sulle directory distribuite. Elenco di attività possono fornire qualsiasi insieme organizzato di record, spesso con una struttura gerarchica, come la directory email aziendale.
L'autenticazione LDAP all'interno di Apigee SSO utilizza il modulo LDAP Spring Security. Di conseguenza, i metodi di autenticazione e le opzioni di configurazione per il supporto LDAP di Apigee SSO sono direttamente correlate a quelle presenti nel protocollo LDAP Spring Security.
LDAP con Edge per il cloud privato supporta i seguenti metodi di autenticazione rispetto a un Server compatibile con LDAP:
- Ricerca e associazione (associazione indiretta)
- Associazione semplice (associazione diretta)
Il servizio SSO di Apigee tenta di recuperare l'indirizzo email dell'utente e aggiornare il record dell'utente interno in modo che sia presente un indirizzo email corrente poiché Edge la utilizza per l'autorizzazione scopi.
URL API e UI Edge
L'URL che utilizzi per accedere alla UI e all'API di gestione Edge è lo stesso di prima hai abilitato SAML o LDAP. Per la UI Edge:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
Dove edge_UI_IP_DNS è l'indirizzo IP o il nome DNS della macchina che ospita la UI Edge. Durante la configurazione della UI Edge, puoi specificare che la connessione HTTP o il protocollo HTTPS criptato.
Per l'API di gestione perimetrale:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Dove ms_IP_DNS è l'indirizzo IP o il nome DNS della gestione Server. Durante la configurazione dell'API, puoi specificare che la connessione utilizzi HTTP o protocollo HTTPS criptato.
Configura TLS sul servizio SSO di Apigee
Per impostazione predefinita, la connessione ad Apigee SSO utilizza HTTP sulla porta 9099 sul nodo che ospita
apigee-sso
, il modulo SSO di Apigee. Integrato in apigee-sso
è un Tomcat
che gestisce le richieste HTTP e HTTPS.
Apigee SSO e Tomcat supportano tre modalità di connessione:
- PREDEFINITA: la configurazione predefinita supporta le richieste HTTP sulla porta 9099.
- SSL_TERMINATION: abilitato l'accesso TLS al servizio SSO di Apigee sulla porta del tuo scelta. Per questa modalità devi specificare una chiave e un certificato TLS.
- SSL_PROXY: configura Apigee SSO in modalità proxy, il che significa che hai installato
bilanciatore del carico davanti a
apigee-sso
e TLS terminato sul carico con il bilanciatore del carico di rete passthrough esterno regionale. Puoi specificare la porta utilizzata suapigee-sso
per le richieste dal carico con il bilanciatore del carico di rete passthrough esterno regionale.
Abilita il supporto dell'IdP esterno per il portale
Dopo aver abilitato il supporto IdP esterni per Edge, puoi facoltativamente abilitarlo per il portale Apigee Developer Services (o semplicemente per il portale). Il portale supporta l'autenticazione SAML e LDAP quando vengono effettuate richieste a Edge. Tieni presente che diversa da SAML e LDAP per l'accesso dello sviluppatore al portale. Configuriamo Autenticazione IdP per l'accesso sviluppatore separatamente. Consulta Configura il portale per utilizzare gli IdP per ulteriori informazioni.
Durante la configurazione del portale, devi specificare l'URL del servizio SSO di Apigee installato con Edge: