Interfejs Edge UI i Edge Management API działają przez wysyłanie żądań do serwera zarządzania brzegiem, gdzie serwer zarządzania obsługuje następujące typy uwierzytelniania:
- Uwierzytelnianie podstawowe: zaloguj się w interfejsie Edge lub wysyłaj żądania do funkcji zarządzania brzegiem. API przez przekazanie Twojej nazwy użytkownika i hasła.
- OAuth2: wymiana danych uwierzytelniających Edge Basic na potrzeby dostępu OAuth2 token i token odświeżania. Wywołuj interfejs Edge Management API, przekazując dostęp OAuth2 w nagłówku Bearer wywołania interfejsu API.
Edge obsługuje uwierzytelnianie przy użyciu tych zewnętrznych dostawców tożsamości:
- Security Assertion Markup Language (SAML) 2.0: generuj dostęp OAuth; z asercji SAML zwracanych przez dostawcę tożsamości SAML.
- Lightweight Directory Access Protocol (LDAP): użyj wyszukiwania i powiązania LDAP lub proste metody uwierzytelniania wiążącego, aby generować tokeny dostępu OAuth.
Dostawcy tożsamości SAML i LDAP obsługują środowisko logowania jednokrotnego. Korzystając z zewnętrznego dostawcy tożsamości w Edge, możesz obsługiwać logowanie jednokrotne w interfejsie użytkownika i interfejsie API Edge, a także w innych usługach, które oferujesz i które obsługują tego dostawcę.
Instrukcje w tej sekcji dotyczące włączania obsługi zewnętrznego dostawcy tożsamości różnią się od instrukcji Zewnętrzne uwierzytelnianie w w następujący sposób:
- W tej sekcji dodaliśmy obsługę SSO
- Ta sekcja jest przeznaczona dla użytkowników interfejsu Edge (nie dla klasycznego)
- Ta sekcja jest obsługiwana tylko w wersji 4.19.06 i nowszych
Logowanie jednokrotne w Apigee
Aby obsługiwać SAML lub LDAP w Edge, musisz zainstalować apigee-sso – moduł Apigee SSO.
Ten obraz przedstawia instalację Apigee SSO w Edge for Private Cloud:
Moduł logowania jednokrotnego Apigee możesz zainstalować w tym samym węźle co interfejs Edge UI i serwer zarządzania lub w osobnym węźle. Upewnij się, że usługa SSO Apigee ma dostęp do serwera zarządzania przez port 8080.
Port 9099 musi być otwarty w węźle Apigee SSO, aby obsługiwać dostęp do Apigee SSO z przeglądarki. z zewnętrznego dostawcy tożsamości SAML lub LDAP oraz z interfejsu użytkownika serwera zarządzania i interfejsu Edge. W ramach konfiguracji Apigee SSO, możesz określić, że połączenie zewnętrzne używa protokołu HTTP lub zaszyfrowanego HTTPS protokołu.
Apigee SSO korzysta z bazy danych Postgres dostępnej na porcie 5432 w węźle Postgres. Zazwyczaj możesz używać tego samego serwera Postgres, który został zainstalowany z Edge, czyli samodzielnego serwera Postgres lub dwóch serwerów Postgres skonfigurowanych w trybie głównym/awaryjnym. Jeśli obciążenie serwera Postgres jest wysokie, możesz utworzyć osobny węzeł Postgres tylko do logowania jednokrotnego w Apigee.
Dodaliśmy obsługę protokołu OAuth2 do Edge dla chmury prywatnej
Jak wspomnieliśmy powyżej, implementacja SAML na brzegu sieci wymaga tokenów dostępu OAuth2. Dodaliśmy obsługę OAuth2 do Edge dla chmury prywatnej. Więcej informacji znajdziesz w artykule Wprowadzenie do OAuth 2.0.
Informacje o SAML
Uwierzytelnianie SAML ma kilka zalet. Korzystając z SAML, możesz:
- Przejmij pełną kontrolę nad zarządzaniem użytkownikami. Gdy użytkownicy opuszczają organizację i zostają usunięci z grupy centralnie, automatycznie tracą dostęp do przeglądarki Edge.
- Kontroluj sposób uwierzytelniania użytkowników w celu uzyskania dostępu do Edge. Możesz wybrać inne metody uwierzytelniania dla różnych organizacji Edge.
- Kontroluj zasady uwierzytelniania. Twój dostawca SAML może obsługiwać zasady uwierzytelniania, które są bardziej zgodne ze standardami Twojej firmy.
- W do wdrożenia Edge.
Po włączeniu SAML dostęp do interfejsu Edge UI i interfejsu Edge API z użyciem tokenów dostępu OAuth2. Te tokeny są generowane przez moduł logowania jednokrotnego Apigee, który akceptuje asercje SAML zwracane przez swojego dostawcy tożsamości.
Po wygenerowaniu z oświadczenia SAML token OAuth jest ważny przez 30 minut, a token odświeżający przez 24 godziny. Twoje środowisko programistyczne może obsługiwać automatyzację zadania programistyczne, takie jak automatyzacja testów lub ciągła integracja bądź ciągłe wdrażanie; (CI/CD), które wymagają tokenów o dłuższym czasie trwania. Zobacz Używanie SAML do obsługi zadań automatycznych, aby dowiedzieć się: specjalne tokeny dla zadań automatycznych.
Informacje o LDAP
Protokół Lightweight Directory Access Protocol (LDAP) to otwarty, standardowy protokół aplikacji umożliwiający dostęp do rozproszonych usług informacyjnych katalogów i ich obsługę. Usługi katalogowe mogą udostępniać dowolny uporządkowany zestaw rekordów, często o strukturze hierarchicznej, np. katalog firmowych adresów e-mail.
Uwierzytelnianie LDAP w Apigee SSO korzysta z modułu LDAP Spring Security. W rezultacie metod uwierzytelniania i opcji konfiguracji na potrzeby obsługi protokołu LDAP Apigee SSO powiązane z danymi z protokołu Spring Security LDAP.
Protokół LDAP z Edge dla chmury Private Cloud obsługuje następujące metody uwierzytelniania w odniesieniu do Serwer zgodny z LDAP:
- Wyszukiwanie i wiązanie (wiązanie pośrednie)
- Simple Bind (direct binding)
SSO Apigee próbuje pobrać adres e-mail użytkownika i zaktualizować wewnętrzny rekord użytkownika, aby w pliku znajdował się aktualny adres e-mail, ponieważ Edge używa tego adresu do autoryzacji.
Adresy URL interfejsu Edge i interfejsu API
Adres URL, którego używasz, aby uzyskać dostęp do interfejsu Edge UI i interfejsu Edge Management API, jest taki sam jak używany wcześniej czy włączono protokół SAML lub LDAP. W interfejsie Edge:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
Gdzie edge_UI_IP_DNS to adres IP lub nazwa DNS komputera hostujący interfejs Edge. Podczas konfigurowania interfejsu Edge możesz określić, że połączenie używa HTTP lub zaszyfrowany protokół HTTPS.
W przypadku interfejsu Edge Management API:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Gdzie ms_IP_DNS jest adresem IP lub nazwą DNS systemu zarządzania Serwer Podczas konfigurowania interfejsu API możesz określić, że połączenie używa protokołu HTTP lub zaszyfrowanego protokołu HTTPS.
Konfigurowanie TLS w Apigee SSO
Domyślnie połączenie z Apigee SSO używa HTTP przez port 9099 na hostowaniu węzła
apigee-sso, moduł Apigee SSO. Wbudowany tryb apigee-sso tomcat
która obsługuje żądania HTTP i HTTPS.
Apigee SSO i Tomcat obsługują 3 tryby połączenia:
- DEFAULT: konfiguracja domyślna obsługuje żądania HTTP na porcie. 9099.
- SSL_TERMINATION: włączony dostęp TLS do logowania jednokrotnego Apigee na wybranym porcie. Dla tego trybu musisz określić klucz i certyfikat TLS.
- SSL_PROXY: konfiguruje logowanie jednokrotne Apigee w trybie proxy, co oznacza, że zainstalowano
system równoważenia obciążenia przed
apigee-ssoi zakończony TLS podczas obciążenia systemu równoważenia obciążenia. Możesz określić port używany wapigee-ssodla żądań z obciążenia systemu równoważenia obciążenia.
Włączanie obsługi zewnętrznego dostawcy tożsamości w portalu
Po włączeniu zewnętrznej obsługi dostawcy tożsamości dla Edge możesz opcjonalnie włączyć ją dla portalu usług dla programistów Apigee (lub po prostu w portalu). Portal obsługuje uwierzytelnianie SAML i LDAP przy wysyłaniu żądań do Edge. Pamiętaj, że jest to różni się od uwierzytelniania SAML i LDAP dla logowania dewelopera do portalu. Konfigurujesz Oddzielne uwierzytelnianie dostawcy tożsamości w przypadku logowania dewelopera. Zobacz Skonfiguruj portal tak, aby korzystał z dostawców tożsamości.
Podczas konfigurowania portalu musisz podać adres URL logowania jednokrotnego w Apigee Moduł zainstalowany z przeglądarką Edge:
