Ringkasan autentikasi IDP eksternal (UI Edge Baru)

UI Edge dan Edge Management API beroperasi dengan membuat permintaan ke Edge Management Server, dengan Management Server mendukung jenis otentikasi berikut:

  • Autentikasi dasar: Login ke Edge UI atau buat permintaan ke Edge Management API dengan meneruskan nama pengguna dan sandi Anda.
  • OAuth2: Tukarkan kredensial Autentikasi Dasar Edge Anda dengan token akses dan token refresh OAuth2. Lakukan panggilan ke Edge Management API dengan meneruskan token akses OAuth2 di header Bearer panggilan API.

Edge mendukung penggunaan Penyedia Identitas (IDP) eksternal berikut untuk autentikasi:

  • Security Assertion Markup Language (SAML) 2.0: Buat akses OAuth ini dari pernyataan SAML yang ditampilkan oleh penyedia identitas SAML.
  • Lightweight Directory Access Protocol (LDAP): Gunakan metode autentikasi pengikatan dan penelusuran LDAP atau pengikatan sederhana untuk membuat token akses OAuth.

IdP SAML dan LDAP mendukung lingkungan single sign-on (SSO). Dengan menggunakan IDP eksternal dengan Edge, Anda dapat mendukung SSO untuk UI dan API Edge selain layanan lain yang Anda sediakan dan yang juga mendukung IDP eksternal Anda.

Petunjuk di bagian ini untuk mengaktifkan dukungan IdP eksternal berbeda dengan Autentikasi eksternal dalam cara berikut:

  • Bagian ini menambahkan dukungan SSO
  • Bagian ini ditujukan bagi pengguna UI Edge (bukan UI Klasik)
  • Bagian ini hanya didukung di 4.19.06 dan yang lebih baru

Tentang Apigee SSO

Untuk mendukung SAML atau LDAP di Edge, Anda menginstal apigee-sso, modul Apigee SSO. Gambar berikut menunjukkan Apigee SSO dalam penginstalan Edge untuk Private Cloud:

Penggunaan port untuk Apigee SSO

Anda dapat menginstal modul Apigee SSO di node yang sama dengan Edge UI dan Server Pengelolaan, atau di node-nya sendiri. Pastikan Apigee SSO memiliki akses ke Server Pengelolaan melalui port 8080.

Port 9099 harus terbuka di node Apigee SSO untuk mendukung akses ke Apigee SSO dari browser, dari IDP SAML atau LDAP eksternal, dan dari Server Pengelolaan dan UI Edge. Sebagai bagian dari konfigurasi Apigee SSO, Anda dapat menentukan bahwa koneksi eksternal menggunakan protokol HTTP atau HTTPS terenkripsi.

Apigee SSO menggunakan database Postgres yang dapat diakses di port 5432 pada node Postgres. Biasanya, Anda dapat menggunakan server Postgres yang sama yang Anda instal dengan Edge, baik server Postgres mandiri maupun dua server Postgres yang dikonfigurasi dalam mode master/standby. Jika beban di server Postgres Anda tinggi, Anda juga dapat memilih untuk membuat node Postgres terpisah hanya untuk Apigee SSO.

Menambahkan dukungan untuk OAuth2 ke Edge untuk Private Cloud

Seperti yang disebutkan di atas, penerapan SAML di Edge mengandalkan token akses OAuth2.Oleh karena itu, dukungan OAuth2 telah ditambahkan ke Edge untuk Private Cloud. Untuk mengetahui informasi selengkapnya, lihat Pengantar OAuth 2.0.

Tentang SAML

Autentikasi SAML menawarkan beberapa keuntungan. Dengan menggunakan SAML, Anda dapat:

  • Mendapatkan kontrol penuh atas pengelolaan pengguna. Saat pengguna keluar dari organisasi Anda dan dibatalkan penyediaannya secara terpusat, mereka akan otomatis ditolak aksesnya ke Edge.
  • Mengontrol cara pengguna melakukan autentikasi untuk mengakses Edge. Anda dapat memilih berbagai jenis autentikasi untuk berbagai organisasi Edge.
  • Mengontrol kebijakan autentikasi. Penyedia SAML Anda dapat mendukung kebijakan autentikasi yang lebih sesuai dengan standar perusahaan Anda.
  • Anda dapat memantau login, logout, upaya login yang gagal, dan aktivitas berisiko tinggi di deployment Edge Anda.

Dengan SAML diaktifkan, akses ke Edge UI dan Edge Management API menggunakan token akses OAuth2. Token ini dibuat oleh modul Apigee SSO yang menerima pernyataan SAML yang ditampilkan oleh IDP Anda.

Setelah dibuat dari pernyataan SAML, token OAuth berlaku selama 30 menit dan token refresh berlaku selama 24 jam. Lingkungan pengembangan Anda mungkin mendukung otomatisasi untuk tugas pengembangan umum, seperti otomatisasi pengujian atau Continuous Integration/Continuous Deployment (CI/CD), yang memerlukan token dengan durasi yang lebih lama. Lihat Menggunakan SAML dengan tugas otomatis untuk mengetahui informasi tentang cara membuat token khusus untuk tugas otomatis.

Tentang LDAP

Lightweight Directory Access Protocol (LDAP) adalah protokol aplikasi standar industri yang terbuka untuk mengakses dan memelihara layanan informasi direktori terdistribusi. Layanan direktori dapat menyediakan kumpulan data yang teratur, sering kali dengan struktur hierarkis, seperti direktori email perusahaan.

Autentikasi LDAP dalam Apigee SSO menggunakan modul Spring Security LDAP. Akibatnya, metode autentikasi dan opsi konfigurasi untuk dukungan LDAP Apigee SSO berkorelasi langsung dengan yang ada di Spring Security LDAP.

LDAP dengan Edge untuk Private Cloud mendukung metode autentikasi berikut terhadap server yang kompatibel dengan LDAP:

  • Penelusuran dan Pengikatan (pengikatan tidak langsung)
  • Pemberkasan Sederhana (pemberkasan langsung)

Apigee SSO mencoba mengambil alamat email pengguna dan memperbarui catatan pengguna internalnya dengan alamat email tersebut sehingga ada alamat email saat ini yang tercatat karena Edge menggunakan email ini untuk tujuan otorisasi.

URL API dan UI Edge

URL yang Anda gunakan untuk mengakses Edge UI dan Edge Management API sama dengan yang digunakan sebelum Anda mengaktifkan SAML atau LDAP. Untuk UI Edge:

http://edge_UI_IP_DNS:9000
https://edge_UI_IP_DNS:9000

Dengan edge_UI_IP_DNS adalah alamat IP atau nama DNS komputer yang menghosting UI Edge. Sebagai bagian dari konfigurasi Edge UI, Anda dapat menentukan bahwa koneksi menggunakan HTTP atau protokol HTTPS terenkripsi.

Untuk Edge Management API:

http://ms_IP_DNS:8080/v1
https://ms_IP_DNS:8080/v1

Dengan ms_IP_DNS adalah alamat IP atau nama DNS Server Pengelolaan. Sebagai bagian dari konfigurasi API, Anda dapat menentukan bahwa koneksi menggunakan HTTP atau protokol HTTPS terenkripsi.

Mengonfigurasi TLS di Apigee SSO

Secara default, koneksi ke Apigee SSO menggunakan HTTP melalui port 9099 di node yang menghosting apigee-sso, modul Apigee SSO. apigee-sso memiliki instance Tomcat yang menangani permintaan HTTP dan HTTPS.

Apigee SSO dan Tomcat mendukung tiga mode koneksi:

  • DEFAULT: Konfigurasi default mendukung permintaan HTTP di port 9099.
  • SSL_TERMINATION: Mengaktifkan akses TLS ke Apigee SSO di port pilihan Anda. Anda harus menentukan kunci dan sertifikat TLS untuk mode ini.
  • SSL_PROXY: Mengonfigurasi Apigee SSO dalam mode proxy, yang berarti Anda menginstal load balancer di depan apigee-sso dan menghentikan TLS di load balancer. Anda dapat menentukan port yang digunakan di apigee-sso untuk permintaan dari load balancer.

Mengaktifkan dukungan IDP eksternal untuk portal

Setelah mengaktifkan dukungan IDP eksternal untuk Edge, Anda dapat mengaktifkannya secara opsional untuk portal Apigee Developer Services (atau cukup, portal). Portal ini mendukung autentikasi SAML dan LDAP saat membuat permintaan ke Edge. Perhatikan bahwa ini berbeda dengan autentikasi SAML dan LDAP untuk login developer ke portal. Anda mengonfigurasi autentikasi IDP eksternal untuk login developer secara terpisah. Lihat Mengonfigurasi portal untuk menggunakan IDP untuk mengetahui informasi selengkapnya.

Sebagai bagian dari konfigurasi portal, Anda harus menentukan URL modul Apigee SSO yang Anda instal dengan Edge:

Alur permintaan/respons dengan token