تثبيت تطبيق Apigee الدخول المُوحَّد (SSO) للتعرُّف على مدى التوفُّر العالي

في حال تثبيت نسخ متعددة من Apigee الدخول المُوحَّد (SSO) لتحقيق مستوى عالٍ من التوفّر، في حالتين:

  • في بيئة واحدة لمركز بيانات، ثبِّت حالتيّ Apigee للدخول الموحّد (SSO) لإنشاء بيئة مدى التوفُّر، أي أنّ النظام يستمر في العمل إذا كان أحد الدخول المُوحَّد (SSO) في Apigee وتنخفض الوحدات.
  • في بيئة بها مركزين للبيانات، قم بتثبيت ApigeeSSO في كلا مركزي البيانات بحيث في حال تعطُّل إحدى وحدات الدخول المُوحَّد (SSO) في Apigee.

تثبيت وحدتَي تسجيل دخول موحّدَين من Apigee في وحدة واحدة مركز بيانات

يمكنك تفعيل نسختَين من خدمة Apigee للدخول المُوحَّد (SSO) على عُقد مختلفة في مركز بيانات واحد لتوفير الدعم. وتوافر مرتفع. في هذا السيناريو:

  • يجب توصيل كلتا مثيليتَي الدخول المُوحَّد (SSO) في Apigee بخادم Postgres نفسه. اقتراحات Apigee باستخدام خادم Postgres مخصَّص للدخول المُوحَّد (SSO) في Apigee وليس خادم Postgres نفسه الذي باستخدام Edge.
  • يجب أن يستخدم كلا مثيلَي الدخول الموحَّد (SSO) في Apigee مفتاحَي التشفير JWT نفسهما كما هو محدَّد في السمة SSO_JWT_SIGNING_KEY_FILEPATH وSSO_JWT_VERIFICATION_KEY_FILEPATH الخصائص في ملف التهيئة. يُرجى الاطّلاع على تثبيت الدخول المُوحَّد (SSO) في Apigee وضبطه لمزيد من المعلومات عن إعداد هذه السمات
  • تحتاج إلى جهاز موازنة الحمل أمام حالتَي استخدام الدخول المُوحَّد (SSO) في Apigee:
    • يجب أن يدعم جهاز موازنة الحمل معدّل تثبيت ملفات تعريف الارتباط التي ينشئها التطبيق، بالإضافة إلى الجلسة يجب تسمية ملف تعريف الارتباط JSESSIONID.
    • يمكنك ضبط جهاز موازنة الحمل لإجراء فحص حالة لبروتوكول TCP أو HTTP على خدمة ApigeeSSO. بالنسبة لبروتوكول TCP، استخدام عنوان URL للدخول المُوحَّد (SSO) في Apigee:
      http_or_https://edge_sso_IP_DNS:9099

      حدِّد المنفذ على النحو الذي تم ضبطه من خلال الدخول المُوحَّد (SSO) في Apigee. المنفذ 9099 هو المنفذ التلقائي.

      بالنسبة إلى HTTP، ضمِّن /healthz:

      http_or_https://edge_sso_IP_DNS:9099/healthz
    • تعتمد بعض إعدادات جهاز موازنة الحمل على ما إذا تم تفعيل HTTPS عند استخدام خدمة الدخول المُوحَّد (SSO) في Apigee. يمكنك الاطّلاع على الأقسام التالية لمزيد من المعلومات.

الوصول إلى HTTP إلى خدمة الدخول المُوحَّد (SSO) في Apigee

في حال استخدام HTTP للوصول إلى خدمة الدخول المُوحَّد (SSO) في Apigee، اضبط جهاز موازنة الحمل على ما يلي:

  • استخدِم وضع HTTP للربط بخدمة الدخول المُوحَّد (SSO) في Apigee.
  • الاستماع على المنفذ نفسه المستخدَم في خدمة Apigee للدخول المُوحَّد (SSO)

    تلقائيًا، يرصد الدخول الموحَّد في Apigee طلبات HTTP على المنفذ 9099. اختياريًا، يمكنك استخدام SSO_TOMCAT_PORT لضبط منفذ الدخول المُوحَّد (SSO) في Apigee في حال استخدام SSO_TOMCAT_PORT لتغيير منفذ الدخول المُوحَّد (SSO) في Apigee من الإعداد التلقائي، تأكَّد من أنّ جهاز موازنة الحمل يرصد ذلك المنفذ.

على سبيل المثال، في كل مثيل لتسجيل الدخول الموحّد في Apigee، يمكنك ضبط المنفذ على 9033 من خلال إضافة ما يلي إلى ملف التكوين:

SSO_TOMCAT_PORT=9033

بعد ذلك يمكنك ضبط جهاز موازنة الحمل على الاستماع على المنفذ 9033 وطلبات إعادة توجيه الطلبات إلى شبكة Edge. مثيل خدمة الدخول المُوحَّد (SSO) في المنفذ 9033 في ما يلي عنوان URL العلني للدخول المُوحَّد (SSO) في Apigee:

http://LB_DNS_NAME:9033

الوصول عبر HTTPS إلى خدمة Apigee

يمكنك ضبط مثيلات الدخول المُوحَّد (SSO) في Apigee لاستخدام HTTPS لإجراء الاتصالات الآمنة. في هذا السيناريو، اتبع الخطوات الواردة في ضبط الدخول المُوحَّد (SSO) في Apigee للوصول إلى HTTPS كجزء من عملية تفعيل HTTPS، اضبط SSO_TOMCAT_PROFILE في ملف إعداد الدخول المُوحَّد (SSO) في Apigee كما هو موضّح أدناه:

SSO_TOMCAT_PROFILE=SSL_TERMINATION

اختياريًا، يمكنك ضبط المنفذ الذي تستخدمه خدمة Apigee للدخول الموحَّد (SSO) عبر بروتوكول HTTPS:

SSO_TOMCAT_PORT=9443

لضمان الاتصال السليم بين جهاز موازنة الحمل وخدمة الدخول المُوحَّد (SSO) في Apigee، اضبط جهاز موازنة الحمل على النحو التالي:

  • استخدِم وضع TCP، وليس وضع HTTP، للاتصال بخدمة الدخول المُوحَّد (SSO) في Apigee. ويسمح هذا لاتصالات طبقة المقابس الآمنة بالمرور بدون إنهاء في جهاز موازنة الحمل.
  • يرصد الميكروفون نفسه عبر المنفذ نفسه الذي تستخدمه خدمة Apigee للدخول المُوحَّد (SSO) على النحو المحدّد في SSO_TOMCAT_PORT (مثل 9443).
  • يمكنك إعادة توجيه الطلبات إلى مثيل خدمة الدخول المُوحَّد (SSO) في Apigee على المنفذ نفسه (9443).

تأكَّد من أنّ عنوان URL العلني يعكس إعدادات المنفذ ونظام أسماء النطاقات لجهاز موازنة الحمل. في ما يلي عنوان URL العلني للدخول المُوحَّد (SSO) في Apigee:

https://LB_DNS_NAME:9443

تثبيت الدخول المُوحَّد (SSO) في Apigee في مراكز بيانات متعددة

في بيئة مركز بيانات متعددة، يمكنك تثبيت مثيل الدخول المُوحَّد (SSO) في Apigee في كل مركز بيانات. يتعامل مثيل الدخول الموحَّد (SSO) في Apigee بعد ذلك مع جميع الزيارات. في حال انخفاض مثيل الدخول المُوحَّد (SSO) في Apigee، يمكنك بعد ذلك التبديل إلى مثيل الدخول المُوحَّد (SSO) الثاني في Apigee.

قبل تثبيت الدخول المُوحَّد (SSO) في Apigee في مركزَي بيانات، ستحتاج إلى ما يلي:

  • عنوان IP أو اسم النطاق لخادم Master Postgres.

    في بيئة مركز بيانات متعددة، تقوم عادةً بتثبيت خادم Postgres واحد في كل بيانات وتهيئتها في وضع النسخ المتماثل Master-Standby. في هذا المثال، البيانات مركز 1 يحتوي على خادم الرئيسي Postgres ومركز البيانات 2 يحتوي على مستوى الاستعداد. لمزيد من المعلومات، يُرجى الاطّلاع على إعداد النسخ الاحتياطي الرئيسي في Postgres:

  • إدخال واحد لنظام أسماء النطاقات يشير إلى مثيل واحد للدخول المُوحَّد (SSO) في Apigee. على سبيل المثال، تقوم بإنشاء DNS الإدخال في النموذج أدناه والذي يشير إلى مثيل الدخول الموحّد في Apigee في مركز البيانات 1:
    my-sso.domain.com => apigee-sso-dc1-ip-or-lb
  • يجب أن يستخدم كلا مثيلَي الدخول الموحَّد (SSO) في Apigee مفتاحَي التشفير JWT نفسهما كما هو محدَّد في السمة SSO_JWT_SIGNING_KEY_FILEPATH وSSO_JWT_VERIFICATION_KEY_FILEPATH الخصائص في ملف التهيئة. يُرجى الاطّلاع على تثبيت الدخول المُوحَّد (SSO) في Apigee وضبطه لمزيد من المعلومات عن إعداد هذه السمات

عند تثبيت الدخول المُوحَّد (SSO) في Apigee في كل مركز بيانات، يمكنك ضبط كلا الخيارين لاستخدام Postgres Master في مركز البيانات 1:

## Postgres configuration
PG_HOST=IP_or_DNS_of_PG_Master_in_DC1
PG_PORT=5432

يمكنك أيضًا ضبط كلا مركزَي البيانات لاستخدام إدخال نظام أسماء النطاقات كعنوان URL متاح للجميع:

# Externally accessible URL of Apigee SSO
SSO_PUBLIC_URL_HOSTNAME=my-sso.domain.com
# Default port is 9099.
SSO_PUBLIC_URL_PORT=9099

في حال انخفاض تسجيل الدخول المُوحَّد (SSO) في Apigee في مركز البيانات 1، يمكنك بعد ذلك التبديل إلى مثيل الدخول المُوحَّد (SSO) في Apigee في البيانات. المركز 2:

  1. حوِّل خادم Postgres Standby في مركز البيانات 2 إلى خادم رئيسي كما هو موضّح في التعامل مع إخفاق قاعدة بيانات PostgreSQL.
  2. عدِّل سجلّ نظام أسماء النطاقات لتوجيه my-sso.domain.com إلى مثيل الدخول المُوحَّد (SSO) في Apigee في مركز البيانات 2:
    my-sso.domain.com => apigee-sso-dc2-ip-or-lb
  3. تعديل ملف الإعداد للدخول المُوحَّد (SSO) في Apigee في مركز البيانات 2 للإشارة إلى الأداة الجديدة Postgres Master الخادم في مركز البيانات 2:
    ## Postgres configuration
    PG_HOST=IP_or_DNS_of_PG_Master_in_DC2
  4. أعِد تشغيل الدخول المُوحَّد (SSO) في Apigee في مركز البيانات 2 لتعديل الإعدادات:
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso restart