L'UI Edge et l'API de gestion Edge fonctionnent en envoyant des requêtes au serveur de gestion Edge. Ce serveur est compatible avec les types d'authentification suivants :
- Authentification de base : connectez-vous à l'interface utilisateur Edge ou envoyez des requêtes à l'API de gestion Edge en transmettant votre nom d'utilisateur et votre mot de passe.
- OAuth2 : échangez vos identifiants Edge Basic Auth contre un jeton d'accès et un jeton d'actualisation OAuth2. Effectuez des appels à l'API de gestion Edge en transmettant le jeton d'accès OAuth2 dans l'en-tête Bearer d'un appel d'API.
Edge permet d'utiliser les fournisseurs d'identité (IdP) externes suivants pour l'authentification :
- Security Assertion Markup Language (SAML) 2.0 : générez des jetons d'accès OAuth à partir des assertions SAML renvoyées par un fournisseur d'identité SAML.
- Lightweight Directory Access Protocol (LDAP) : utilisez les méthodes d'authentification par recherche et liaison ou par liaison simple de LDAP pour générer des jetons d'accès OAuth.
Les IdP SAML et LDAP sont compatibles avec un environnement d'authentification unique (SSO). En utilisant un IdP externe avec Edge, vous pouvez activer le SSO pour l'UI et l'API Edge, ainsi que pour tout autre service que vous fournissez et qui est également compatible avec votre IdP externe.
Les instructions de cette section pour activer la compatibilité avec les IdP externes diffèrent de l'authentification externe des manières suivantes :
- Cette section ajoute la compatibilité avec l'authentification unique
- Cette section s'adresse aux utilisateurs de l'interface utilisateur Edge (et non de l'interface utilisateur classique).
- Cette section n'est compatible qu'avec la version 4.19.06 et les versions ultérieures.
À propos d'Apigee SSO
Pour prendre en charge SAML ou LDAP sur Edge, vous devez installer apigee-sso, le module Apigee SSO.
L'image suivante montre Apigee SSO dans une installation Edge pour Private Cloud :
Vous pouvez installer le module Apigee SSO sur le même nœud que l'UI Edge et le serveur de gestion, ou sur son propre nœud. Assurez-vous qu'Apigee SSO a accès au serveur de gestion sur le port 8080.
Le port 9099 doit être ouvert sur le nœud Apigee SSO pour permettre l'accès à Apigee SSO depuis un navigateur, depuis le fournisseur d'identité SAML ou LDAP externe, et depuis le serveur de gestion et l'UI Edge. Lorsque vous configurez Apigee SSO, vous pouvez spécifier que la connexion externe utilise le protocole HTTP ou le protocole HTTPS chiffré.
Apigee SSO utilise une base de données Postgres accessible sur le port 5432 du nœud Postgres. En règle générale, vous pouvez utiliser le même serveur Postgres que celui que vous avez installé avec Edge, qu'il s'agisse d'un serveur Postgres autonome ou de deux serveurs Postgres configurés en mode maître/veille. Si la charge sur votre serveur Postgres est élevée, vous pouvez également choisir de créer un nœud Postgres distinct pour Apigee SSO.
Ajout de la compatibilité avec OAuth2 pour Edge pour Private Cloud
Comme indiqué ci-dessus, l'implémentation SAML d'Edge repose sur des jetons d'accès OAuth2.Par conséquent, la compatibilité avec OAuth2 a été ajoutée à Edge pour le cloud privé. Pour en savoir plus, consultez la page Présentation d'OAuth 2.0.
À propos de SAML
L'authentification SAML offre plusieurs avantages. Avec SAML, vous pouvez effectuer les opérations suivantes :
- Contrôlez entièrement la gestion des utilisateurs. Lorsque les utilisateurs quittent votre organisation et ne sont plus gérés de façon centralisée, ils se voient automatiquement refuser l'accès à Edge.
- Contrôlez la façon dont les utilisateurs s'authentifient pour accéder à Edge. Vous pouvez choisir différents types d'authentification pour différentes organisations Edge.
- Contrôlez les règles d'authentification. Votre fournisseur SAML peut accepter des règles d'authentification plus conformes aux normes de votre entreprise.
- Vous pouvez surveiller les connexions, les déconnexions, les tentatives de connexion infructueuses et les activités à haut risque sur votre déploiement Edge.
Lorsque SAML est activé, l'accès à l'interface utilisateur Edge et à l'API de gestion Edge utilise des jetons d'accès OAuth2. Ces jetons sont générés par le module Apigee SSO, qui accepte les assertions SAML renvoyées par votre IdP.
Une fois généré à partir d'une assertion SAML, le jeton OAuth est valide pendant 30 minutes et le jeton d'actualisation pendant 24 heures. Votre environnement de développement peut prendre en charge l'automatisation des tâches de développement courantes, telles que l'automatisation des tests ou l'intégration/le déploiement continus (CI/CD), qui nécessitent des jetons de plus longue durée. Consultez Utiliser SAML avec des tâches automatisées pour savoir comment créer des jetons spéciaux pour les tâches automatisées.
À propos de LDAP
Le protocole LDAP (Lightweight Directory Access Protocol) est un protocole d'application ouvert et standard dans l'industrie, qui régit l'accès aux services d'annuaire distribués et leur maintenance. Les services d'annuaire peuvent fournir n'importe quel ensemble organisé d'enregistrements, souvent avec une structure hiérarchique, comme un annuaire d'adresses e-mail d'entreprise.
L'authentification LDAP dans Apigee SSO utilise le module Spring Security LDAP. Par conséquent, les méthodes d'authentification et les options de configuration pour la compatibilité LDAP d'Apigee SSO sont directement corrélées à celles de Spring Security LDAP.
LDAP avec Edge pour le cloud privé est compatible avec les méthodes d'authentification suivantes sur un serveur compatible LDAP :
- Rechercher et associer (association indirecte)
- Liaison simple (liaison directe)
Apigee SSO tente de récupérer l'adresse e-mail de l'utilisateur et de mettre à jour son enregistrement interne avec celle-ci afin qu'une adresse e-mail actuelle soit enregistrée. En effet, Edge utilise cette adresse e-mail à des fins d'autorisation.
URL de l'UI et de l'API Edge
L'URL que vous utilisez pour accéder à l'UI Edge et à l'API de gestion Edge est la même que celle utilisée avant l'activation de SAML ou LDAP. Pour l'UI Edge :
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
Où edge_UI_IP_DNS correspond à l'adresse IP ou au nom DNS de la machine hébergeant l'interface utilisateur Edge. Lorsque vous configurez l'interface utilisateur Edge, vous pouvez spécifier que la connexion utilise le protocole HTTP ou le protocole HTTPS chiffré.
Pour l'API Edge Management :
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Où ms_IP_DNS est l'adresse IP ou le nom DNS du serveur de gestion. Lorsque vous configurez l'API, vous pouvez spécifier que la connexion utilise le protocole HTTP ou le protocole HTTPS chiffré.
Configurer TLS sur Apigee SSO
Par défaut, la connexion à Apigee SSO utilise HTTP sur le port 9099 du nœud hébergeant apigee-sso, le module Apigee SSO. apigee-sso intègre une instance Tomcat qui gère les requêtes HTTP et HTTPS.
Apigee SSO et Tomcat sont compatibles avec trois modes de connexion :
- DEFAULT : la configuration par défaut accepte les requêtes HTTP sur le port 9099.
- SSL_TERMINATION: : active l'accès TLS à Apigee SSO sur le port de votre choix. Vous devez spécifier une clé et un certificat TLS pour ce mode.
- SSL_PROXY: : configure Apigee SSO en mode proxy, ce qui signifie que vous avez installé un équilibreur de charge devant
apigee-ssoet arrêté TLS sur l'équilibreur de charge. Vous pouvez spécifier le port utilisé surapigee-ssopour les requêtes provenant de l'équilibreur de charge.
Activer la compatibilité avec les IdP externes pour le portail
Après avoir activé la compatibilité avec les IdP externes pour Edge, vous pouvez éventuellement l'activer pour le portail Apigee Developer Services (ou simplement le portail). Le portail est compatible avec l'authentification SAML et LDAP lors de l'envoi de requêtes à Edge. Notez que cette authentification est différente de l'authentification SAML et LDAP pour la connexion des développeurs au portail. Vous configurez l'authentification du fournisseur d'identité externe pour la connexion des développeurs séparément. Pour en savoir plus, consultez Configurer le portail pour utiliser des IdP.
Lorsque vous configurez le portail, vous devez spécifier l'URL du module Apigee SSO que vous avez installé avec Edge :
