סקירה כללית של אימות IDP חיצוני (ממשק משתמש חדש של Edge)

ממשק המשתמש של Edge ו-Edge Management API פועלים על ידי שליחת בקשות לשרת הניהול של Edge, שבו שרת הניהול תומך בסוגי האימות הבאים:

  • אימות בסיסי: מתחברים לממשק המשתמש של Edge או שולחים בקשות לניהול Edge API באמצעות העברת שם המשתמש והסיסמה שלכם.
  • OAuth2:החלפה של פרטי הכניסה של Edge Basic Auth לגישת OAuth2 ואסימון הרענון. מבצעים קריאות ל-Edge management API על ידי העברת גישת OAuth2 באסימון בכותרת 'נושא' בקריאה ל-API.

Edge תומך בשימוש בספקי הזיהוי החיצוניים (IDP) הבאים לצורך אימות:

  • Security Assertion Markup Language‏ (SAML) 2.0: יצירת אסימוני גישה של OAuth מטענות נכונות (assertions) של SAML שמוחזרים על ידי ספק זהויות של SAML.
  • Lightweight Directory Access Protocol (LDAP): שימוש בחיפוש ובחיבור של LDAP או שיטות אימות קשות פשוטות כדי ליצור אסימוני גישה ל-OAuth.

גם מזהי SAML וגם מזהי LDAP תומכים בסביבת כניסה יחידה (SSO). באמצעות IdP חיצוני ב-Edge, אפשר לתמוך בכניסה יחידה (SSO) לממשק המשתמש ול-API של Edge בנוסף לכל שירות אחר שמספקים ותומכים גם ב-IdP החיצוני שלכם.

ההוראות בקטע הזה להפעלה של תמיכה ב-IdP חיצוני שונות אימות חיצוני ב- בדרכים הבאות:

  • בקטע הזה נוספה תמיכה ב-SSO
  • הקטע הזה מיועד למשתמשים בממשק המשתמש של Edge (לא בממשק המשתמש הקלאסי)
  • הקטע הזה נתמך רק בגרסה 4.19.06 ואילך

מידע על Apigee SSO

כדי לתמוך ב-SAML או ב-LDAP ב-Edge, צריך להתקין את apigee-sso, מודול ה-SSO של Apigee. התמונה הבאה מציגה Apigee SSO ב-Edge להתקנת ענן פרטי:

שימוש ביציאה ב-Apigee SSO

אפשר להתקין את מודול ה-SSO של Apigee באותו הצומת שבו נמצאים ממשק המשתמש ושרת הניהול של Edge, או בצומת משלו. מוודאים של-Apigee SSO יש גישה לשרת הניהול ביציאה 8080.

היציאה 9099 צריכה להיות פתוחה בצומת Apigee SSO כדי לתמוך בגישה ל-Apigee SSO מדפדפן, מ-SAML החיצוני או מ-LDAP IDP, ומממשק המשתמש של שרת הניהול ו-Edge. כחלק מהגדרת התצורה SSO ב-Apigee, אפשר לציין שהחיבור החיצוני ישתמש ב-HTTP או ב-HTTPS המוצפן של Google.

SSO ב-Apigee משתמש במסד נתונים של Postgres שאפשר לגשת אליו ביציאה 5432 בצומת Postgres. בדרך כלל אפשר להשתמש באותו שרת Postgres שהתקנתם עם Edge, בין שמדובר בשרת Postgres עצמאי ובין שמדובר בשני שרתי Postgres שהוגדרו במצב master/standby. אם הטעינה ב-Postgres השרת גבוה. אפשר גם ליצור צומת Postgres נפרד רק עבור Apigee SSO.

נוספה תמיכה ב-OAuth2 ל-Edge בענן פרטי

כפי שצוין קודם, הטמעת Edge של SAML מבוססת על אסימוני גישה מסוג OAuth2.לכן, תמיכה ב-OAuth2 נוספה ל-Edge לענן פרטי. מידע נוסף זמין במאמר הבא: מבוא ל-OAuth 2.0.

מידע על SAML

לאימות באמצעות SAML יש מספר יתרונות. באמצעות SAML תוכלו:

  • מקבלים שליטה מלאה על ניהול המשתמשים. כשמשתמשים עוזבים את הארגון על ידי ביטול ניהול ההקצאות באופן מרוכז, הגישה שלהם ל-Edge תידחה באופן אוטומטי.
  • לקבוע איך המשתמשים יאומתו כדי לגשת ל-Edge. אפשר לבחור בשיטת אימות אחרת שונים לארגונים שונים של Edge.
  • שליטה בכללי מדיניות האימות. יכול להיות שספק ה-SAML שלך תומך במדיניות האימות שתואמים לתקנים הארגוניים שלכם.
  • אפשר לעקוב אחר כניסות, התנתקות, ניסיונות התחברות כושלים ופעילויות בסיכון גבוה ב- בפריסה של Edge.

כשהתכונה SAML מופעלת, הגישה לממשק המשתמש של Edge ול-Edge management API משתמשת באסימוני גישה מסוג OAuth2. האסימונים האלה נוצרים על ידי מודול ה-SSO של Apigee שמקבל טענות נכונות (assertions) של SAML שמוחזרו על ידי ה-IdP שלך.

אחרי שיוצרים אסימון OAuth מטענת נכוֹנוּת (assertion) של SAML, הוא תקף למשך 30 דקות ואסימון הרענון תקף למשך 24 שעות. סביבת הפיתוח עשויה לתמוך באוטומציה משימות פיתוח, כמו בדיקות אוטומציה או אינטגרציה רציפה (CI) או פריסה רציפה (CD) (CI/CD), שדורשים אסימונים עם משך זמן ארוך יותר. במאמר שימוש ב-SAML עם משימות אוטומטיות מוסבר איך יוצרים אסימונים מיוחדים למשימות אוטומטיות.

מידע על LDAP

פרוטוקול Lightweight Directory Access Protocol (LDAP) הוא אפליקציה פתוחה ומקובלת בתחום. לצורך גישה לשירותי מידע של ספריות מבוזרות ולתחזק אותם. מדריך עסקים עשויים לספק כל קבוצה מאורגנת של רשומות, לרוב עם מבנה היררכי, כמו של Google.

האימות באמצעות LDAP ב-Apigee SSO מתבצע באמצעות מודול Spring Security LDAP. כתוצאה מכך, שיטות האימות ואפשרויות ההגדרה של תמיכת ה-LDAP ב-Apigee SSO קשורות ישירות לאלה שנמצאות ב-Spring Security LDAP.

פרוטוקול LDAP עם Edge לענן הפרטי תומך בשיטות האימות הבאות מול שרת תואם LDAP:

  • חיפוש וקישור (קישור עקיף)
  • קישור פשוט (קישור ישיר)

SSO ב-Apigee מנסה לאחזר את כתובת האימייל של המשתמש ולעדכן את רשומת המשתמש הפנימית שלו יחד עם כתובת אימייל נוכחית פעילה, מכיוון ש-Edge משתמש באימייל הזה לצורך הרשאה למטרות.

כתובות URL של ממשק משתמש ו-API של Edge

כתובת ה-URL שמשמשת לגישה ל-Edge UI ול-Edge management API זהה לכתובת ה-URL הקודמת הפעלת SAML או LDAP. בממשק המשתמש של Edge:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

כאשר edge_UI_IP_DNS הוא כתובת ה-IP או שם ה-DNS של המכונה שמארח את ממשק המשתמש של Edge. כחלק מהגדרת ממשק המשתמש של Edge, אפשר לציין שהשימוש בחיבור HTTP או בפרוטוקול HTTPS המוצפן.

ב-Edge management API:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

כאשר ms_IP_DNS הוא כתובת ה-IP או שם ה-DNS של הניהול שרת. כחלק מהגדרת ה-API, ניתן לציין שהחיבור משתמש ב-HTTP או בפרוטוקול HTTPS מוצפן.

הגדרת TLS ב-SSO ב-Apigee

כברירת מחדל, החיבור ל-Apigee SSO מתבצע באמצעות HTTP ביציאה 9099 בצומת שמארח את apigee-sso, המודול של Apigee SSO. מובנה ב-apigee-sso הוא Tomcat שמטפל בבקשות HTTP ו-HTTPS.

ל-Apigee SSO ול-Tomcat יש תמיכה בשלושה מצבי חיבור:

  • ברירת מחדל: הגדרת ברירת המחדל תומכת בבקשות HTTP ביציאה 9099.
  • SSL_TERMINATION: הפעלת גישה ל-TLS ל-Apigee SSO ביציאה שבחרתם. צריך לציין מפתח ותעודה של TLS למצב הזה.
  • SSL_PROXY: הגדרת Apigee SSO במצב שרת proxy, כלומר התקנתם מאזן עומסים מול apigee-sso והפסקתם את TLS במאזן העומסים. אפשר לציין את היציאה שבה apigee-sso משמש לבקשות מהמאזן העומסים.

הפעלת תמיכה ב-IdP חיצוני לפורטל

אחרי שמפעילים תמיכה ב-IdP חיצוני ב-Edge, אפשר להפעיל אותה לפורטל השירותים למפתחים של Apigee (או פשוט לפורטל). הפורטל תומך באימות SAML ו-LDAP כששולחים בקשות ל-Edge. חשוב לזכור שהאימות הזה שונה מאימות SAML ו-LDAP לכניסה של מפתחים לפורטל. הגדרתם הגדרות של גורמים חיצוניים אימות IdP לצורך התחברות למפתחים בנפרד. צפייה מגדירים את הפורטל כך שישתמש ב-IdPs לקבלת עוד.

כחלק מהגדרת הפורטל, צריך לציין את כתובת ה-URL של שירות ה-SSO של Apigee המודול שהתקנתם עם Edge:

זרימת הבקשה/התגובה עם אסימונים