Edge UI และ Edge Management API จะทำงานด้วยการส่งคำขอไปยังเซิร์ฟเวอร์การจัดการ Edge โดยที่เซิร์ฟเวอร์การจัดการรองรับการตรวจสอบสิทธิ์ประเภทต่อไปนี้
- การตรวจสอบสิทธิ์พื้นฐาน: เข้าสู่ระบบ UI ของ Edge หรือส่งคำขอไปยัง Edge Management API โดยส่งชื่อผู้ใช้และรหัสผ่าน
- OAuth2: แลกเปลี่ยนข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์ Edge Basic สำหรับการเข้าถึง OAuth2 และโทเค็นการรีเฟรช เรียกใช้ API การจัดการ Edge ด้วยการส่งโทเค็นการเข้าถึง OAuth2 ในส่วนหัว Bearer ของการเรียก API
Edge รองรับการใช้ผู้ให้บริการข้อมูลประจำตัว (IdP) ภายนอกต่อไปนี้สำหรับการตรวจสอบสิทธิ์
- ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) 2.0: สร้างการเข้าถึง OAuth โดยใช้ตัวเลือกเหล่านี้ จากการยืนยัน SAML แสดงผลโดยผู้ให้บริการข้อมูลประจำตัว SAML
- Lightweight Directory Access Protocol (LDAP): ใช้การค้นหาและเชื่อมโยงของ LDAP หรือ วิธีการตรวจสอบสิทธิ์การเชื่อมโยงแบบง่ายเพื่อสร้างโทเค็นเพื่อการเข้าถึง OAuth
ทั้ง SAML IdP และ LDAP รองรับสภาพแวดล้อมการลงชื่อเพียงครั้งเดียว (SSO) โดยการใช้ IdP ภายนอก Edge จะรองรับ SSO สำหรับ Edge UI และ API นอกเหนือจากบริการอื่นๆ ที่คุณ และยังรองรับ IdP ภายนอกอีกด้วย
วิธีการในส่วนนี้เพื่อเปิดใช้การสนับสนุน IdP ภายนอกจะแตกต่างจาก การตรวจสอบสิทธิ์ภายนอกใน วิธีต่อไปนี้
- ส่วนนี้จะเพิ่มการรองรับ SSO
- ส่วนนี้มีไว้สำหรับผู้ใช้ UI ของ Edge (ไม่ใช่ UI แบบคลาสสิก)
- ส่วนนี้รองรับเวอร์ชัน 4.19.06 ขึ้นไปเท่านั้น
เกี่ยวกับ SSO ของ Apigee
หากต้องการรองรับ SAML หรือ LDAP ใน Edge ให้ติดตั้ง apigee-sso ซึ่งเป็นโมดูล SSO ของ Apigee
อิมเมจต่อไปนี้แสดง SSO ของ Apigee ในการติดตั้ง Edge สำหรับ Private Cloud
คุณจะติดตั้งโมดูล SSO ของ Apigee ในโหนดเดียวกันกับ Edge UI และเซิร์ฟเวอร์การจัดการได้ หรือ ในโหนดของตัวเอง ตรวจสอบว่า SSO ของ Apigee มีสิทธิ์เข้าถึงเซิร์ฟเวอร์การจัดการผ่านพอร์ต 8080 อยู่
ต้องเปิดพอร์ต 9099 บนโหนด Apigee SSO เพื่อรองรับการเข้าถึง SSO ของ Apigee จากเบราว์เซอร์ จาก SAML ภายนอกหรือ IDP ของ LDAP และจากเซิร์ฟเวอร์การจัดการและ Edge UI ขั้นตอนการกำหนดค่า SSO ของ Apigee คุณสามารถระบุว่าการเชื่อมต่อภายนอกใช้ HTTP หรือ HTTPS ที่เข้ารหัสได้
SSO ของ Apigee ใช้ฐานข้อมูล Postgres ที่เข้าถึงได้บนพอร์ต 5432 บนโหนด Postgres โดยปกติแล้ว คุณจะใช้เซิร์ฟเวอร์ Postgres เดียวกันกับที่ติดตั้งกับ Edge ได้ ไม่ว่าจะเป็นเซิร์ฟเวอร์ Postgres แบบสแตนด์อโลนหรือเซิร์ฟเวอร์ Postgres 2 เครื่องที่กำหนดค่าไว้ในโหมดหลัก/สแตนด์บาย ถ้าการโหลดใน Postgres เซิร์ฟเวอร์อยู่ในระดับสูง คุณยังเลือกสร้างโหนด Postgres แยกต่างหากสำหรับ SSO ของ Apigee โดยเฉพาะได้
เพิ่มการรองรับ OAuth2 ไปยัง Edge สำหรับ Private Cloud
ดังที่กล่าวไว้ข้างต้น การใช้งาน Edge ของ SAML จะต้องอาศัยโทเค็นเพื่อการเข้าถึง OAuth2 เพิ่มการรองรับ OAuth2 ไปยัง Edge สำหรับ Private Cloud แล้ว สำหรับข้อมูลเพิ่มเติม โปรดดู ข้อมูลเบื้องต้นเกี่ยวกับ OAuth 2.0
เกี่ยวกับ SAML
การตรวจสอบสิทธิ์ SAML มีข้อดีหลายอย่าง เมื่อใช้ SAML คุณจะทำสิ่งต่อไปนี้ได้
- ควบคุมการจัดการผู้ใช้ได้อย่างเต็มที่ เมื่อผู้ใช้ออกจากองค์กรและ ถูกยกเลิกการจัดสรรจากส่วนกลาง บุคคลเหล่านี้จะถูกปฏิเสธไม่ให้เข้าถึง Edge โดยอัตโนมัติ
- ควบคุมวิธีที่ผู้ใช้ตรวจสอบสิทธิ์ในการเข้าถึง Edge คุณเลือกการตรวจสอบสิทธิ์ประเภทต่างๆ สำหรับองค์กร Edge ที่แตกต่างกันได้
- ควบคุมนโยบายการตรวจสอบสิทธิ์ ผู้ให้บริการ SAML อาจรองรับนโยบายการตรวจสอบสิทธิ์ที่สอดคล้องกับมาตรฐานขององค์กรมากกว่า
- คุณสามารถตรวจสอบการเข้าสู่ระบบ การออกจากระบบ ความพยายามเข้าสู่ระบบที่ไม่สำเร็จ และกิจกรรมที่มีความเสี่ยงสูงได้ใน การทำให้ Edge ใช้งานได้
เมื่อเปิดใช้ SAML การเข้าถึง UI ของ Edge และ Edge Management API จะใช้โทเค็นการเข้าถึง OAuth2 โทเค็นเหล่านี้สร้างขึ้นโดยโมดูล SSO ของ Apigee ซึ่งยอมรับการยืนยัน SAML ที่แสดงผลโดย IDP ของคุณ
เมื่อสร้างจากการยืนยัน SAML แล้ว โทเค็น OAuth จะใช้ได้เป็นเวลา 30 นาทีและการรีเฟรช โทเค็นมีอายุ 24 ชั่วโมง สภาพแวดล้อมในการพัฒนาซอฟต์แวร์ของคุณอาจรองรับการทำงานอัตโนมัติสำหรับการ งานการพัฒนา เช่น การทดสอบระบบอัตโนมัติหรือการผสานรวมแบบต่อเนื่อง/การทำให้ใช้งานได้อย่างต่อเนื่อง (CI/CD) ซึ่งต้องใช้โทเค็นซึ่งมีระยะเวลานานกว่า โปรดดู การใช้ SAML กับงานอัตโนมัติเพื่อดูข้อมูลเกี่ยวกับ การสร้างโทเค็นพิเศษสำหรับงานอัตโนมัติ
เกี่ยวกับ LDAP
Lightweight Directory Access Protocol (LDAP) เป็นแอปพลิเคชันมาตรฐานอุตสาหกรรมแบบเปิด โปรโตคอลสำหรับการเข้าถึงและดูแลรักษาบริการข้อมูลไดเรกทอรีแบบกระจาย ไดเรกทอรี บริการอาจให้ชุดระเบียนที่มีการจัดระเบียบ ซึ่งมักมีโครงสร้างแบบลำดับชั้น เช่น ไดเรกทอรีอีเมลขององค์กร
การตรวจสอบสิทธิ์ LDAP ภายใน SSO ของ Apigee จะใช้โมดูล Spring Security LDAP ด้วยเหตุนี้ ฟิลด์ วิธีการตรวจสอบสิทธิ์และตัวเลือกการกำหนดค่าสำหรับการรองรับ LDAP ของ Apigee SSO โดยตรง สัมพันธ์กับรายการที่พบใน LDAP การรักษาความปลอดภัยของฤดูใบไม้ผลิ
LDAP ที่มี Edge สำหรับระบบคลาวด์ส่วนตัวรองรับวิธีการตรวจสอบสิทธิ์ต่อไปนี้กับเซิร์ฟเวอร์ที่เข้ากันได้กับ LDAP
- การค้นหาและเชื่อมโยง (การเชื่อมโยงโดยอ้อม)
- เชื่อมโยงแบบง่าย (เชื่อมโยงโดยตรง)
SSO ของ Apigee พยายามดึงข้อมูลอีเมลของผู้ใช้และอัปเดตระเบียนผู้ใช้ภายใน กับแอปเพื่อให้มีอีเมลปัจจุบันบันทึกไว้เนื่องจาก Edge ใช้อีเมลนี้ในการให้สิทธิ์ วัตถุประสงค์
Edge UI และ URL ของ API
URL ที่คุณใช้เข้าถึง Edge UI และ Edge Management API เป็น URL เดียวกันกับที่ใช้ก่อนหน้านี้ ที่เปิดใช้ SAML หรือ LDAP สำหรับ Edge UI
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
โดยที่ edge_UI_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของเครื่อง การโฮสต์ Edge UI ในการกำหนดค่า Edge UI คุณระบุให้การเชื่อมต่อใช้ HTTP หรือโปรโตคอล HTTPS ที่เข้ารหัส
สําหรับ Management API ของ Edge ให้ทำดังนี้
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
โดยที่ ms_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของการจัดการ เซิร์ฟเวอร์ ในการกําหนดค่า API คุณสามารถระบุให้การเชื่อมต่อใช้ HTTP หรือโปรโตคอล HTTPS ที่เข้ารหัส
กำหนดค่า TLS ใน SSO ของ Apigee
โดยค่าเริ่มต้น การเชื่อมต่อกับ SSO ของ Apigee จะใช้ HTTP ผ่านพอร์ต 9099 ในการโฮสต์โหนด
apigee-sso โมดูล SSO ของ Apigee apigee-sso มีอินสแตนซ์ Tomcat ที่จัดการคําขอ HTTP และ HTTPS ในตัว
Apigee SSO และ Tomcat รองรับโหมดการเชื่อมต่อ 3 โหมดดังต่อไปนี้
- ค่าเริ่มต้น: การกำหนดค่าเริ่มต้นรองรับคำขอ HTTP บนพอร์ต 9099
- SSL_TERMINATION: เปิดใช้การเข้าถึง TLS สำหรับ Apigee SSO บนพอร์ตของ คุณต้องระบุคีย์ TLS และใบรับรองสำหรับโหมดนี้
- SSL_PROXY: กำหนดค่า SSO ของ Apigee ในโหมดพร็อกซี ซึ่งหมายความว่าคุณได้ติดตั้ง
ตัวจัดสรรภาระงานอยู่ด้านหน้า
apigee-ssoและสิ้นสุด TLS บนโหลด บาลานเซอร์ คุณระบุพอร์ตที่ใช้ในapigee-ssoสำหรับคำขอจากการโหลดได้ บาลานเซอร์
เปิดใช้การรองรับ IDP ภายนอกสําหรับพอร์ทัล
หลังจากเปิดใช้การรองรับ IdP ภายนอกสำหรับ Edge แล้ว คุณจะเลือกเปิดใช้กับพอร์ทัล Apigee Developer Services (หรือเรียกง่ายๆ ว่าพอร์ทัลก็ได้) ก็ได้ พอร์ทัลรองรับการตรวจสอบสิทธิ์ SAML และ LDAP เมื่อส่งคำขอไปยัง Edge โปรดทราบว่านี่คือ ต่างจากการตรวจสอบสิทธิ์ SAML และ LDAP สำหรับการเข้าสู่ระบบพอร์ทัลของนักพัฒนาซอฟต์แวร์ คุณกำหนดค่าภายนอก การตรวจสอบสิทธิ์ IDP สำหรับการเข้าสู่ระบบของนักพัฒนาซอฟต์แวร์แยกต่างหาก โปรดดู กำหนดค่าพอร์ทัลเพื่อใช้ IDP เพื่อรับข้อมูลเพิ่มเติม
คุณต้องระบุ URL ของ SSO ของ Apigee เป็นส่วนหนึ่งของการกำหนดค่าพอร์ทัล โมดูลที่คุณติดตั้งด้วย Edge:
