La IU de Edge y la API de administración de Edge operan realizando solicitudes al servidor de administración de Edge, en el que el servidor de administración admite los siguientes tipos de autenticación:
- Autenticación básica: Accede a la IU de Edge o realiza solicitudes a la API de administración de Edge pasando tu nombre de usuario y contraseña.
- OAuth2: Intercambia tus credenciales de autenticación básica de Edge por un token de acceso y un token de actualización de OAuth2. Realiza llamadas a la API de administración de Edge pasando el token de acceso de OAuth2 en el encabezado Bearer de una llamada a la API.
Edge admite el uso de los siguientes proveedores de identidad (IDP) externos para la autenticación:
- Lenguaje de marcado para confirmaciones de seguridad (SAML) 2.0: Genera acceso de OAuth a partir de las aserciones de SAML que devuelve un proveedor de identidad de SAML.
- Protocolo ligero de acceso a directorios (LDAP): Usa los métodos de autenticación de búsqueda y vinculación o vinculación simple de LDAP para generar tokens de acceso de OAuth.
Tanto los IdP de SAML como los de LDAP admiten un entorno de inicio de sesión único (SSO). Si usas un IDP externo con Edge, puedes admitir el SSO para la IU y la API de Edge, además de cualquier otro servicio que proporciones y que también admita tu IDP externo.
Las instrucciones de esta sección para habilitar la compatibilidad con IdP externos difieren de la autenticación externa de las siguientes maneras:
- En esta sección, se agrega compatibilidad con el SSO
- Esta sección está destinada a los usuarios de la IU de Edge (no la IU clásica).
- Esta sección solo es compatible con la versión 4.19.06 y posteriores.
Acerca del SSO de Apigee
Para admitir SAML o LDAP en Edge, instala apigee-sso, el módulo de SSO de Apigee.
En la siguiente imagen, se muestra Apigee SSO en una instalación de Edge para la nube privada:
Puedes instalar el módulo de Apigee SSO en el mismo nodo que la IU de Edge y el servidor de administración, o en su propio nodo. Asegúrate de que Apigee SSO tenga acceso al servidor de administración a través del puerto 8080.
El puerto 9099 debe estar abierto en el nodo de Apigee SSO para admitir el acceso a Apigee SSO desde un navegador, desde el IdP externo de SAML o LDAP, y desde el servidor de administración y la IU de Edge. Como parte de la configuración del SSO de Apigee, puedes especificar que la conexión externa use HTTP o el protocolo HTTPS encriptado.
El SSO de Apigee usa una base de datos de Postgres accesible en el puerto 5432 del nodo de Postgres. Por lo general, puedes usar el mismo servidor de Postgres que instalaste con Edge, ya sea un servidor de Postgres independiente o dos servidores de Postgres configurados en modo principal/en espera. Si la carga en tu servidor de Postgres es alta, también puedes crear un nodo de Postgres independiente solo para el SSO de Apigee.
Se agregó compatibilidad con OAuth2 a Edge para la nube privada
Como se mencionó anteriormente, la implementación de SAML de Edge se basa en tokens de acceso de OAuth2.Por lo tanto, se agregó compatibilidad con OAuth2 a Edge para la nube privada. Para obtener más información, consulta Introducción a OAuth 2.0.
Acerca de SAML
La autenticación de SAML ofrece varias ventajas. Si utiliza SAML, puede hacer lo siguiente:
- Tener control total sobre la administración de usuarios Cuando los usuarios abandonan tu organización y se desaprovisionan de forma central, se les rechaza el acceso a Edge automáticamente.
- Controla cómo se autentican los usuarios para acceder a Edge. Puedes elegir diferentes tipos de autenticación para diferentes organizaciones de Edge.
- Controlar las políticas de autenticación Tu proveedor de SAML puede admitir políticas de autenticación que estén más alineadas con los estándares de tu empresa.
- Puedes supervisar los accesos, las salidas, los intentos de acceso fallidos y las actividades de alto riesgo en tu implementación de Edge.
Con SAML habilitado, el acceso a la IU de Edge y a la API de administración de Edge usa tokens de acceso de OAuth2. Estos tokens los genera el módulo de SSO de Apigee, que acepta las aserciones de SAML que devuelve tu IdP.
Una vez que se genera a partir de una aserción de SAML, el token de OAuth es válido durante 30 minutos y el token de actualización, durante 24 horas. Tu entorno de desarrollo puede admitir la automatización de tareas de desarrollo comunes, como la automatización de pruebas o la integración continua/implementación continua (CI/CD), que requieren tokens con una duración más larga. Consulta Usa SAML con tareas automatizadas para obtener información sobre cómo crear tokens especiales para tareas automatizadas.
Acerca de LDAP
El Protocolo ligero de acceso a directorios (LDAP) es un protocolo de aplicación estándar de la industria y abierto para acceder a servicios de información de directorios distribuidos y mantenerlos. Los servicios de directorio pueden proporcionar cualquier conjunto organizado de registros, a menudo con una estructura jerárquica, como un directorio de correo electrónico corporativo.
La autenticación de LDAP en el SSO de Apigee usa el módulo LDAP de Spring Security. Como resultado, los métodos de autenticación y las opciones de configuración para la compatibilidad con LDAP del SSO de Apigee se correlacionan directamente con los que se encuentran en Spring Security LDAP.
LDAP con Edge para la nube privada admite los siguientes métodos de autenticación en un servidor compatible con LDAP:
- Search and Bind (vinculación indirecta)
- Simple Bind (vinculación directa)
El SSO de Apigee intenta recuperar la dirección de correo electrónico del usuario y actualizar su registro interno de usuario con ella para que haya una dirección de correo electrónico actual en el archivo, ya que Edge usa este correo electrónico para fines de autorización.
URLs de la IU y la API de Edge
La URL que usas para acceder a la IU de Edge y a la API de administración de Edge es la misma que usabas antes de habilitar SAML o LDAP. Para la IU de Edge:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
Aquí, edge_UI_IP_DNS es la dirección IP o el nombre de DNS de la máquina que aloja la IU de Edge. Como parte de la configuración de la IU de Edge, puedes especificar que la conexión use HTTP o el protocolo HTTPS encriptado.
Para la API de Edge Management, se aplican las siguientes condiciones:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Donde ms_IP_DNS es la dirección IP o el nombre de DNS del servidor de administración. Como parte de la configuración de la API, puedes especificar que la conexión use HTTP o el protocolo HTTPS encriptado.
Configura TLS en el SSO de Apigee
De forma predeterminada, la conexión a Apigee SSO usa HTTP a través del puerto 9099 en el nodo que aloja apigee-sso, el módulo de Apigee SSO. apigee-sso incluye una instancia de Tomcat que controla las solicitudes HTTP y HTTPS.
Apigee SSO y Tomcat admiten tres modos de conexión:
- PREDETERMINADO: La configuración predeterminada admite solicitudes HTTP en el puerto 9099.
- SSL_TERMINATION: Habilitó el acceso a TLS al SSO de Apigee en el puerto de tu elección. Debes especificar una clave y un certificado TLS para este modo.
- SSL_PROXY: Configura el SSO de Apigee en modo proxy, lo que significa que instalaste un balanceador de cargas delante de
apigee-ssoy finalizaste TLS en el balanceador de cargas. Puedes especificar el puerto que se usa enapigee-ssopara las solicitudes del balanceador de cargas.
Habilita la compatibilidad con IdP externos para el portal
Después de habilitar la compatibilidad con el IdP externo para Edge, puedes habilitarla de forma opcional para el portal de Apigee Developer Services (o simplemente, el portal). El portal admite la autenticación de SAML y LDAP cuando se realizan solicitudes a Edge. Ten en cuenta que esto es diferente de la autenticación de SAML y LDAP para el acceso de desarrolladores al portal. Debes configurar la autenticación del IdP externo para el acceso de desarrolladores por separado. Consulta Configura el portal para usar IDP para obtener más información.
Como parte de la configuración del portal, debes especificar la URL del módulo de SSO de Apigee que instalaste con Edge:
