تعمل واجهة برمجة التطبيقات Edge Management API وواجهة مستخدم Edge من خلال إرسال طلبات إلى Edge Management Server، حيث يتيح Management Server أنواع المصادقة التالية:
- المصادقة الأساسية: سجِّل الدخول إلى واجهة مستخدم Edge أو قدم طلبات إلى إدارة Edge API من خلال إدخال اسم المستخدم وكلمة المرور.
- OAuth2: تبادل بيانات اعتماد مصادقة Edge Basic للوصول إلى OAuth2 الرمز المميز وإعادة التحميل. إجراء اتصالات بواجهة برمجة تطبيقات إدارة Edge من خلال تمرير وصول OAuth2 في عنوان الحامل الخاص بطلب بيانات من واجهة برمجة التطبيقات.
يتيح Edge استخدام موفِّري الهوية (idP) الخارجيين التالين للمصادقة:
- لغة ترميز تأكيد الأمان (SAML) 2.0: إنشاء إمكانية الوصول عبر OAuth إلى ما يلي من تأكيدات SAML التي يعرضها موفّر هوية SAML.
- البروتوكول الخفيف لتغيير بيانات الدليل (LDAP): يستخدم بحث LDAP والربط أو طرق مصادقة ملزمة بسيطة لإنشاء رموز دخول OAuth.
يتيح كل من موفِّري الهوية عبر SAML وLDAP بيئة تسجيل دخول موحّد. باستخدام موفِّر هوية (idP) خارجي مع Edge، يمكنك توفير خدمة الدخول الموحّد (SSO) لواجهة مستخدم Edge وواجهة برمجة التطبيقات (API) بالإضافة إلى أي خدمات أخرى التي توفِّرها وتدعم أيضًا موفِّر الهوية (idP) الخارجي.
تختلف التعليمات الواردة في هذا القسم لإتاحة التوافق مع موفِّر الهوية (idP) الخارجي عن المصادقة الخارجية في الطرق التالية:
- يتيح هذا القسم إمكانية استخدام "الدخول الموحّد" (SSO).
- هذا القسم مخصّص لمستخدمي واجهة مستخدم Edge (وليس واجهة المستخدم الكلاسيكية).
- لا يتوفر هذا القسم إلا على الإصدار 4.19.06 والإصدارات الأحدث
لمحة عن الدخول المُوحَّد في Apigee
لتفعيل لغة SAML أو بروتوكول LDAP على Edge، عليك تثبيت apigee-sso
، وهي وحدة الدخول المُوحَّد في Apigee.
تعرض الصورة التالية الدخول الموحّد في Apigee في متصفّح Edge for Private Cloud لتثبيته:
يمكنك تثبيت وحدة الدخول المُوحَّد (SSO) في Apigee على نفس العقدة مع واجهة مستخدم Edge وخادم الإدارة، أو على الجزء الخاص بها. تأكَّد من أنّ خدمة الدخول الموحد في Apigee يمكنها الوصول إلى "خادم الإدارة" عبر المنفذ 8080.
يجب فتح المنفذ 9099 في عقدة خدمة الدخول المُوحَّد (SSO) في Apigee لإتاحة الوصول إلى خدمة Apigee من المتصفّح. من موفِّر الهوية (idP) المستنِد إلى SAML أو LDAP الخارجي، ومن واجهة مستخدم Edge وخادم الإدارة. وكجزء من عملية تكوين الدخول الموحَّد (SSO) في Apigee، يمكنك تحديد أن الاتصال الخارجي يستخدم HTTP أو بروتوكول HTTPS المشفّر. والبروتوكول.
يستخدم ApigeeSSO قاعدة بيانات Postgres يمكن الوصول إليها من خلال المنفذ 5432 على عقدة Postgres. أنت عادةً يمكنه استخدام خادم Postgres نفسه الذي ثبَّته مع Edge، إما خادم Postgres مستقل خادم أو خادمين من خوادم Postgres تمت تهيئتهما في وضع رئيسي/وضع الاستعداد. إذا كان التحميل على Postgres الخادم مرتفع، يمكنك أيضًا اختيار إنشاء عقدة Postgres منفصلة لتسجيل الدخول المُوحَّد (SSO) في Apigee فقط.
تمت إضافة دعم OAuth2 إلى Edge for Private Cloud.
كما ذكرنا أعلاه، يعتمد تنفيذ Edge لـ SAML على رموز الدخول OAuth2. تمت إضافة دعم OAuth2 إلى Edge for Private Cloud. لمزيد من المعلومات، يُرجى مراجعة مقدّمة عن OAuth 2.0.
لمحة عن SAML
تقدم مصادقة SAML العديد من المزايا. باستخدام SAML، يمكنك إجراء ما يلي:
- يمكنك التحكّم بشكلٍ كامل في إدارة المستخدمين. عندما يغادر المستخدمون مؤسستك تم إلغاء الإذن بالوصول مركزيًا، يتم منعهم تلقائيًا من الوصول إلى Edge.
- التحكُّم في كيفية مصادقة المستخدمين للوصول إلى Edge يمكنك اختيار طرق مصادقة مختلفة المختلفة لمؤسسات Edge المختلفة.
- التحكم في سياسات المصادقة. قد يوفّر موفِّر SAML سياسات المصادقة التي تتوافق بشكل أكبر مع معايير مؤسستك
- يمكنك مراقبة عمليات تسجيل الدخول، وعمليات تسجيل الخروج، ومحاولات تسجيل الدخول غير الناجحة، والأنشطة عالية الخطورة على نشر Edge.
عند تفعيل SAML، يتم الوصول إلى واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge باستخدام رموز الدخول OAuth2. يتم إنشاء هذه الرموز المميّزة بواسطة وحدة الدخول الموحّد في Apigee التي تقبل تأكيدات SAML التي تعرضها موفِّر الهوية (idP).
بعد إنشائه من تعريف SAML، يكون رمز OAuth صالحًا لمدة 30 دقيقة ويكون رمز إعادة التحديث صالحًا لمدة 24 ساعة. قد تدعم بيئة التطوير أتمتة المهام الشائعة مثل اختبار التشغيل الآلي أو التكامل المستمر أو النشر المستمر (CI/CD)، التي تتطلّب رموزًا مميزة ذات مدة أطول. عرض استخدام SAML مع المهام التلقائية للحصول على معلومات عن إنشاء رموز مميزة خاصة للمهام التلقائية.
حول LDAP
البروتوكول الخفيف لتغيير بيانات الدليل (LDAP) هو بروتوكول تطبيقات مفتوح وقياسي في المجال للوصول إلى خدمات معلومات الدليل الموزّعة والحفاظ عليها. الدليل أي مجموعة منظمة من السجلات، وغالبًا ما تكون بهيكل هرمي، مثل دليل البريد الإلكتروني للشركة.
تستخدم مصادقة LDAP ضمن الدخول المُوحَّد في Apigee وحدة Spring Security LDAP. وبالتالي، طرق المصادقة وخيارات الإعداد لدعم LDAP في Apigee بشكل مباشر ذات صلة بتلك الموجودة في Spring Security LDAP.
تتوافق خدمة LDAP مع Edge في السحابة الإلكترونية الخاصة مع طرق المصادقة التالية مع خادم متوافق مع LDAP:
- البحث والربط (الربط غير المباشر)
- الربط البسيط (الربط المباشر)
يحاول الدخول المُوحَّد (SSO) في Apigee استرداد عنوان البريد الإلكتروني للمستخدم وتعديل سجلّ المستخدم الداخلي بها، كي يكون هناك عنوان بريد إلكتروني حالي مسجَّل، لأنّ متصفّح Edge يستخدم هذا البريد الإلكتروني للحصول على إذن. الأهداف.
واجهة مستخدم Edge وعناوين URL لواجهة برمجة التطبيقات
عنوان URL الذي تستخدمه للوصول إلى واجهة مستخدم Edge وواجهة برمجة تطبيقات إدارة Edge هو نفسه المستخدم من قبل تفعيل SAML أو LDAP. بالنسبة إلى واجهة مستخدم Edge:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
حيث edge_UI_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات للجهاز لاستضافة واجهة مستخدم Edge. كجزء من ضبط واجهة مستخدم Edge، يمكنك تحديد أن يستخدم الاتصال بروتوكول HTTP أو بروتوكول HTTPS المشفَّر.
بالنسبة إلى واجهة برمجة تطبيقات إدارة Edge:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
حيث يكون ms_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات لخادم الإدارة. كجزء من ضبط واجهة برمجة التطبيقات، يمكنك تحديد أن يستخدم الاتصال بروتوكول HTTP أو بروتوكول HTTPS المشفَّر.
ضبط بروتوكول أمان طبقة النقل (TLS) في الدخول المُوحَّد (SSO) في Apigee
بشكل تلقائي، يستخدم الاتصال بتسجيل الدخول الأحادي (SSO) في Apigee بروتوكول HTTP عبر المنفذ 9099 في الجزء المضيف للعقدة
apigee-sso
، وحدة الدخول المُوحَّد (SSO) في Apigee تم تضمين رمز Tomcat في "apigee-sso
"
مثيل معالجة طلبات HTTP وHTTPS.
توفِّر خدمة الدخول المُوحَّد (SSO) في Apigee وTomcat ثلاثة أوضاع للاتصال:
- تلقائي: تتوافق الإعدادات التلقائية مع طلبات HTTP على المنفذ. 9099.
- SSL_TERMINATION: تم تفعيل وصول "بروتوكول أمان طبقة النقل" (TLS) إلى ApigeeSSO على منفذ خِيَار. يجب تحديد مفتاح بروتوكول أمان طبقة النقل وشهادة لهذا الوضع.
- SSL_PROXY: لضبط الدخول الموحّد في Apigee في وضع الخادم الوكيل، ما يعني أنّك ثبَّت
جهاز موازنة الحمل أمام
apigee-sso
وتم إنهاء بروتوكول أمان طبقة النقل (TLS) عند التحميل موازِن. يمكنك تحديد المنفذ المستخدَم فيapigee-sso
للطلبات من التحميل موازِن.
تفعيل إتاحة موفِّر الهوية الخارجي للبوابة
بعد تفعيل ميزة موفِّر الهوية الخارجي في Edge، يمكنك تفعيلها اختياريًا في بوابة Apigee Developer Services (أو البوابة ببساطة). تدعم البوابة مصادقة SAML وLDAP عند تقديم طلبات إلى Edge. لاحظ أن هذا عن مصادقة SAML وLDAP لتسجيل دخول مطور البرامج إلى البوابة. يمكنك ضبط مصادقة موفِّر هوية خارجي لتسجيل دخول المطوّر بشكل منفصل. عرض عليك ضبط البوابة لاستخدام موفِّري الهوية (idP) من أجل تنفيذ إجراءات أخرى.
كجزء من إعداد البوابة، عليك تحديد عنوان URL للدخول المُوحَّد (SSO) في Apigee الذي ثبّته باستخدام Edge: