Visão geral da autenticação do IdP externo (nova IU do Edge)

A interface e a API de gerenciamento de borda funcionam fazendo solicitações ao servidor de gerenciamento de borda, em que o servidor de gerenciamento oferece suporte aos seguintes tipos de autenticação:

  • Autenticação básica:faça login na interface do Edge ou faça solicitações ao gerenciamento do Edge. com seu nome de usuário e senha.
  • OAuth2:troque as credenciais do Edge Basic Auth por um acesso do OAuth2. e o token de atualização. Fazer chamadas para a API Edge Management transmitindo o acesso ao OAuth2 no cabeçalho do portador de uma chamada de API.

O Edge oferece suporte ao uso dos seguintes provedores de identificação (IDPs) externos para autenticação:

  • Linguagem de marcação para autorização de segurança (SAML, na sigla em inglês) 2.0:gere acesso OAuth a esses de declarações SAML retornadas por um provedor de identidade SAML.
  • Protocolo leve de acesso a diretórios (LDAP): usa a pesquisa e a vinculação de LDAP métodos de autenticação de vinculação simples para gerar tokens de acesso OAuth.
.

Os IdPs SAML e LDAP são compatíveis com um ambiente de Logon único (SSO). Usando um IdP externo Com o Edge, é possível ter suporte ao SSO para a interface e a API do Edge, além de quaisquer outros serviços que você e que também ofereçam suporte ao seu IdP externo.

As instruções nesta seção para ativar o suporte ao IdP externo são diferentes das Autenticação externa no da seguinte maneira:

  • Esta seção adiciona suporte a SSO
  • Esta seção é destinada aos usuários da interface do Edge (não da IU clássica).
  • Esta seção só é compatível com a versão 4.19.06 e mais recentes

Sobre o SSO da Apigee

Para oferecer suporte a SAML ou LDAP no Edge, instale apigee-sso, o módulo SSO da Apigee. A imagem a seguir mostra o SSO da Apigee em um Edge para instalação de nuvem privada:

Uso de portas para SSO da Apigee

É possível instalar o módulo SSO da Apigee no mesmo nó da IU de borda e do servidor de gerenciamento ou em um nó próprio. Verifique se o SSO da Apigee tem acesso ao servidor de gerenciamento pela porta 8080.

A porta 9099 precisa estar aberta no nó SSO da Apigee para permitir o acesso ao SSO da Apigee por um navegador. do IdP SAML ou LDAP e do servidor de gerenciamento e da IU de borda. Como parte da configuração SSO da Apigee, é possível especificar que a conexão externa usa HTTP ou HTTPS criptografado protocolo.

O SSO da Apigee usa um banco de dados do Postgres acessível na porta 5432 no nó do Postgres. Normalmente, pode usar o mesmo servidor Postgres que você instalou com o Edge, seja um Postgres autônomo; ou dois servidores Postgres configurados no modo mestre/de espera. Se a carga no Postgres for alto, também será possível criar um nó do Postgres separado apenas para o SSO da Apigee.

Suporte adicionado para OAuth2 ao Edge para nuvem privada.

Como mencionado acima, a implementação do Edge para SAML depende de tokens de acesso OAuth2. O suporte a OAuth2 foi adicionado ao Edge para nuvem privada. Para mais informações, consulte Introdução ao OAuth 2.0.

Sobre o SAML

A autenticação SAML oferece várias vantagens. Ao usar a SAML, você pode:

  • Assuma o controle total do gerenciamento de usuários. Quando os usuários deixam a organização e desprovisionados centralmente, o acesso ao Edge é negado automaticamente.
  • Controle como os usuários se autenticam para acessar o Edge. É possível escolher diferentes tipos de autenticação para diferentes organizações de Edge.
  • Controlar políticas de autenticação. Seu provedor de SAML pode ser compatível com políticas de autenticação mais alinhadas aos padrões da sua empresa.
  • Você pode monitorar logins, logouts, tentativas de login malsucedidas e atividades de alto risco no implantação do Edge.

Com o SAML ativado, o acesso à interface e à API Edge Management usa tokens de acesso OAuth2. Esses tokens são gerados pelo módulo SSO da Apigee, que aceita declarações SAML retornadas pelo seu IdP.

Depois de gerado a partir de uma declaração SAML, o token OAuth é válido por 30 minutos e a atualização é válido por 24 horas. Seu ambiente de desenvolvimento pode oferecer suporte à automação para tarefas tarefas de desenvolvimento, como automação de testes ou integração/implantação contínuas (CI/CD), que exigem tokens com uma duração maior. Consulte Usar SAML com tarefas automatizadas para informações sobre e criar tokens especiais para tarefas automatizadas.

Sobre o LDAP

O Protocolo leve de acesso a diretórios (LDAP) é um aplicativo aberto padrão do setor para acessar e manter serviços de informações de diretório distribuídos. Diretório serviços podem fornecer qualquer conjunto organizado de registros, muitas vezes com uma estrutura hierárquica, como uma diretório de e-mail corporativo.

A autenticação LDAP no SSO da Apigee usa o módulo LDAP do Spring Security. Como resultado, os métodos de autenticação e as opções de configuração para o suporte a LDAP do SSO da Apigee estão diretamente correlacionados aos encontrados no LDAP do Spring Security.

O LDAP com Edge para a nuvem privada é compatível com os seguintes métodos de autenticação em uma Servidor compatível com LDAP:

  • Pesquisa e vinculação (vinculação indireta)
  • Vinculação simples (vinculação direta)
.

O SSO da Apigee tenta recuperar o endereço de e-mail do usuário e atualizar o registro interno dele com ele para que haja um endereço de e-mail atual registrado, já que o Edge usa esse e-mail para autorização. propósitos.

URLs de API e interface do usuário do Edge

O URL que você usa para acessar a interface e a API Edge Management é o mesmo usado antes com o SAML ou o LDAP ativados. Na interface do Edge:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

Em que edge_UI_IP_DNS é o endereço IP ou nome DNS da máquina. hospedar a interface do Edge. Como parte da configuração da interface do usuário do Edge, é possível especificar que a conexão use o HTTP ou o protocolo HTTPS criptografado.

Para a API Edge Management:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

Em que ms_IP_DNS é o endereço IP ou nome do DNS do sistema Servidor. Como parte da configuração da API, você pode especificar que a conexão use HTTP ou o um protocolo HTTPS criptografado.

Configurar o TLS no SSO da Apigee

Por padrão, a conexão com o SSO da Apigee usa HTTP pela porta 9099 no nó que hospeda apigee-sso, o módulo SSO da Apigee. Um Tomcat está integrado ao apigee-sso que processa as solicitações HTTP e HTTPS.

O SSO da Apigee e o Tomcat são compatíveis com três modos de conexão:

  • PADRÃO: a configuração padrão oferece suporte a solicitações HTTP na porta 9099.
  • SSL_TERMINATION::ativado o acesso TLS ao SSO da Apigee na porta do uma melhor opção. É necessário especificar uma chave TLS e um certificado para esse modo.
  • SSL_PROXY::configura o SSO da Apigee no modo proxy, o que significa que você instalou um balanceador de carga na frente de apigee-sso e TLS encerrado na carga de carga. É possível especificar a porta usada em apigee-sso para solicitações da carga de carga.

Ativar o suporte ao IdP externo no portal

Depois de ativar o suporte ao IdP externo para o Edge, você poderá ativá-lo para o portal Apigee Developer Services (ou simplesmente o portal). O portal oferece suporte à autenticação SAML e LDAP ao fazer solicitações ao Edge. Observe que este é diferente da autenticação SAML e LDAP para fazer login do desenvolvedor no portal. Você configura aplicativos externos Autenticação do IdP para o login do desenvolvedor separadamente. Consulte Configure o portal para usar IdPs para saber mais.

Como parte da configuração do portal, especifique o URL do SSO da Apigee que você instalou com o Edge:

Fluxo de solicitação/resposta com tokens