Edge kullanıcı arayüzü ve Edge Management API, Edge Management Server'a istekte bulunarak çalışır. Management Server, aşağıdaki kimlik doğrulama türlerini destekler:
- Temel kimlik doğrulama: Kullanıcı adınızı ve şifrenizi ileterek Edge kullanıcı arayüzünde oturum açın veya Edge yönetim API'sine istek gönderin.
- OAuth2: Edge temel kimlik doğrulama kimlik bilgilerinizi OAuth2 erişim jetonu ve yenileme jetonuyla değiştirin. API çağrısının Bearer üstbilgisinde OAuth2 erişim jetonunu ileterek Edge Management API'ye çağrı yapın.
Edge, kimlik doğrulama için aşağıdaki harici kimlik sağlayıcıların (IDP'ler) kullanılmasını destekler:
- Güvenlik Onayı Biçimlendirme Dili (SAML) 2.0: SAML kimlik sağlayıcı tarafından döndürülen SAML onaylarından OAuth erişim jetonları oluşturun.
- Basit Dizin Erişimi Protokolü (LDAP): OAuth erişim jetonları oluşturmak için LDAP'nin arama ve bağlama veya basit bağlama kimlik doğrulama yöntemlerini kullanın.
Hem SAML hem de LDAP IdP'ler, tek oturum açma (TOA) ortamını destekler. Edge ile harici bir IdP kullanarak, sağladığınız ve harici IdP'nizi destekleyen diğer tüm hizmetlerin yanı sıra Edge kullanıcı arayüzü ve API için TOA'yı destekleyebilirsiniz.
Harici IdP desteğini etkinleştirmek için bu bölümdeki talimatlar, Harici kimlik doğrulama'dan şu açılardan farklıdır:
- Bu bölüm, TOA desteği ekler.
- Bu bölüm, Edge kullanıcı arayüzü (Klasik kullanıcı arayüzü değil) kullanıcıları içindir.
- Bu bölüm yalnızca 4.19.06 ve sonraki sürümlerde desteklenir.
Apigee SSO hakkında
Edge'de SAML veya LDAP'yi desteklemek için Apigee TOA modülü olan apigee-sso'yı yüklersiniz.
Aşağıdaki resimde, Private Cloud için Edge yüklemesinde Apigee SSO gösterilmektedir:
Apigee SSO modülünü Edge kullanıcı arayüzü ve yönetim sunucusuyla aynı düğüme veya kendi düğümüne yükleyebilirsiniz. Apigee SSO'nun 8080 numaralı bağlantı noktası üzerinden yönetim sunucusuna erişebildiğinden emin olun.
Apigee TOA'ya tarayıcıdan, harici SAML veya LDAP IdP'den, Yönetim Sunucusu'ndan ve Edge kullanıcı arayüzünden erişimi desteklemek için Apigee TOA düğümünde 9099 numaralı bağlantı noktasının açık olması gerekir. Apigee SSO'yu yapılandırma kapsamında, harici bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanacağını belirtebilirsiniz.
Apigee SSO, Postgres düğümünde 5432 numaralı bağlantı noktası üzerinden erişilebilen bir Postgres veritabanı kullanır. Genellikle Edge ile yüklediğiniz aynı Postgres sunucusunu (bağımsız bir Postgres sunucusu veya ana/bekleme modunda yapılandırılmış iki Postgres sunucusu) kullanabilirsiniz. PostgreSQL sunucunuzdaki yük yüksekse yalnızca Apigee SSO için ayrı bir PostgreSQL düğümü oluşturmayı da seçebilirsiniz.
Özel bulut için Edge'e OAuth2 desteği eklendi
Yukarıda belirtildiği gibi, SAML'nin Edge'deki uygulaması OAuth2 erişim jetonlarına dayanır.Bu nedenle, Edge for Private Cloud'a OAuth2 desteği eklenmiştir. Daha fazla bilgi için OAuth 2.0'a giriş başlıklı makaleyi inceleyin.
SAML hakkında
SAML kimlik doğrulamanın çeşitli avantajları vardır. SAML kullanarak şunları yapabilirsiniz:
- Kullanıcı yönetimi üzerinde tam kontrol sahibi olun. Kuruluşunuzdan ayrılan ve merkezi olarak hizmetten çıkarılan kullanıcıların Edge'e erişimi otomatik olarak reddedilir.
- Kullanıcıların Edge'e erişmek için kimlik doğrulama yöntemini kontrol edin. Farklı Edge kuruluşları için farklı kimlik doğrulama türleri seçebilirsiniz.
- Kimlik doğrulama politikalarını kontrol edin. SAML sağlayıcınız, kurumsal standartlarınıza daha uygun kimlik doğrulama politikalarını destekleyebilir.
- Edge dağıtımınızda oturum açma, oturum kapatma, başarısız oturum açma denemeleri ve yüksek riskli etkinlikleri izleyebilirsiniz.
SAML etkinleştirildiğinde Edge kullanıcı arayüzüne ve Edge Management API'ye erişim için OAuth2 erişim jetonları kullanılır. Bu jetonlar, IdP'niz tarafından döndürülen SAML onaylarını kabul eden Apigee TOA modülü tarafından oluşturulur.
SAML onayından oluşturulan OAuth jetonu 30 dakika, yenileme jetonu ise 24 saat boyunca geçerlidir. Geliştirme ortamınız, daha uzun süreli jetonlar gerektiren test otomasyonu veya sürekli entegrasyon/sürekli dağıtım (CI/CD) gibi yaygın geliştirme görevleri için otomasyonu destekleyebilir. Otomatik görevler için özel jetonlar oluşturma hakkında bilgi edinmek için Otomatik görevlerde SAML kullanma başlıklı makaleyi inceleyin.
LDAP hakkında
Basit Dizin Erişimi Protokolü (LDAP), dağıtılmış dizin bilgisi hizmetlerine erişmek ve bunları korumak için kullanılan açık bir endüstri standardı uygulama protokolüdür. Dizin hizmetleri, genellikle hiyerarşik bir yapıya sahip olan, düzenlenmiş kayıt kümeleri (ör. kurumsal e-posta dizini) sağlayabilir.
Apigee SSO'daki LDAP kimlik doğrulaması, Spring Security LDAP modülünü kullanır. Bu nedenle, Apigee SSO'nun LDAP desteği için kimlik doğrulama yöntemleri ve yapılandırma seçenekleri doğrudan Spring Security LDAP'de bulunanlarla ilişkilidir.
Özel bulut için Edge ile LDAP, LDAP uyumlu bir sunucuya karşı aşağıdaki kimlik doğrulama yöntemlerini destekler:
- Arama ve Bağlama (dolaylı bağlama)
- Basit bağlama (doğrudan bağlama)
Apigee SSO, kullanıcının e-posta adresini almaya ve dahili kullanıcı kaydını bu adresle güncellemeye çalışır. Böylece, Edge bu e-postayı yetkilendirme amacıyla kullandığı için dosyada güncel bir e-posta adresi bulunur.
Edge kullanıcı arayüzü ve API URL'leri
Edge kullanıcı arayüzüne ve Edge yönetim API'sine erişmek için kullandığınız URL, SAML veya LDAP'yi etkinleştirmeden önce kullandığınız URL ile aynıdır. Edge kullanıcı arayüzü için:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
Burada edge_UI_IP_DNS, Edge kullanıcı arayüzünü barındıran makinenin IP adresi veya DNS adıdır. Edge kullanıcı arayüzünü yapılandırma kapsamında, bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanacağını belirtebilirsiniz.
Edge Management API için:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Burada ms_IP_DNS, Yönetim Sunucusu'nun IP adresi veya DNS adıdır. API'yi yapılandırma kapsamında, bağlantının HTTP veya şifrelenmiş HTTPS protokolünü kullanacağını belirtebilirsiniz.
Apigee SSO'da TLS'yi yapılandırma
Apigee SSO'ya bağlantı varsayılan olarak apigee-sso, Apigee SSO modülünün barındırıldığı düğümde 9099 bağlantı noktası üzerinden HTTP kullanır. apigee-sso içinde HTTP ve HTTPS isteklerini işleyen bir Tomcat örneği bulunur.
Apigee SSO ve Tomcat üç bağlantı modunu destekler:
- VARSAYILAN: Varsayılan yapılandırma, 9099 numaralı bağlantı noktasında HTTP isteklerini destekler.
- SSL_TERMINATION: Seçtiğiniz bağlantı noktasında Apigee TOA'ya TLS erişimini etkinleştirir. Bu mod için bir TLS anahtarı ve sertifikası belirtmeniz gerekir.
- SSL_PROXY: Apigee SSO'yu proxy modunda yapılandırır. Bu,
apigee-sso'nin önüne bir yük dengeleyici yüklediğiniz ve TLS'yi yük dengeleyicide sonlandırdığınız anlamına gelir. Yük dengeleyiciden gelen istekler içinapigee-ssoüzerinde kullanılan bağlantı noktasını belirtebilirsiniz.
Portal için harici IdP desteğini etkinleştirme
Edge için harici IdP desteğini etkinleştirdikten sonra, Apigee Developer Services portalı (veya kısaca portal) için de isteğe bağlı olarak etkinleştirebilirsiniz. Portal, Edge'e istek gönderirken SAML ve LDAP kimlik doğrulamasını destekler. Bu yöntemin, geliştiricilerin portala giriş yapması için kullanılan SAML ve LDAP kimlik doğrulamasından farklı olduğunu unutmayın. Geliştirici girişi için harici IdP kimlik doğrulamasını ayrı olarak yapılandırırsınız. Daha fazla bilgi için Portalı IdP'leri kullanacak şekilde yapılandırma başlıklı makaleyi inceleyin.
Portalı yapılandırma kapsamında, Edge ile yüklediğiniz Apigee TOA modülünün URL'sini belirtmeniz gerekir:
