Giao diện người dùng Edge và API quản lý Edge hoạt động bằng cách gửi yêu cầu đến Máy chủ quản lý Edge, trong đó Máy chủ quản lý hỗ trợ các loại xác thực sau:
- Xác thực cơ bản: Đăng nhập vào giao diện người dùng Edge hoặc đưa ra yêu cầu cho API quản lý Edge bằng cách truyền tên người dùng và mật khẩu của bạn.
- OAuth2: Đổi thông tin đăng nhập Xác thực cơ bản của Edge để lấy mã truy cập OAuth2 và mã làm mới. Thực hiện lệnh gọi đến API quản lý Edge bằng cách truyền mã truy cập OAuth2 trong tiêu đề Bearer của một lệnh gọi API.
Edge hỗ trợ việc sử dụng Nhà cung cấp dịch vụ nhận dạng (IDP) bên ngoài sau đây để xác thực:
- Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) 2.0: Tạo quyền truy cập OAuth từ các xác nhận SAML do nhà cung cấp danh tính SAML trả về.
- Giao thức truy cập thư mục hạng nhẹ (LDAP): Sử dụng các phương thức xác thực liên kết đơn giản hoặc tìm kiếm và liên kết của LDAP để tạo mã truy cập OAuth.
Cả IdP SAML và LDAP đều hỗ trợ môi trường đăng nhập một lần (SSO). Bằng cách sử dụng một IDP bên ngoài với Edge, bạn có thể hỗ trợ SSO cho Edge UI và API ngoài mọi dịch vụ khác mà bạn cung cấp và cũng hỗ trợ IDP bên ngoài của bạn.
Hướng dẫn trong phần này để bật tính năng hỗ trợ IdP bên ngoài khác với hướng dẫn về Xác thực bên ngoài theo những cách sau:
- Phần này bổ sung tính năng hỗ trợ SSO
- Phần này dành cho người dùng giao diện người dùng Edge (không phải giao diện người dùng Cổ điển)
- Phần này chỉ được hỗ trợ trên phiên bản 4.19.06 trở lên
Giới thiệu về Apigee SSO
Để hỗ trợ SAML hoặc LDAP trên Edge, bạn sẽ cài đặt apigee-sso, mô-đun Apigee SSO.
Hình ảnh sau đây minh hoạ Apigee SSO trong một bản cài đặt Edge cho Đám mây riêng tư:
Bạn có thể cài đặt mô-đun SSO của Apigee trên cùng một nút với Giao diện người dùng Edge và Máy chủ quản lý hoặc trên nút riêng của mô-đun đó. Đảm bảo rằng Apigee SSO có quyền truy cập vào Máy chủ quản lý qua cổng 8080.
Bạn phải mở cổng 9099 trên nút Apigee SSO để hỗ trợ quyền truy cập vào Apigee SSO từ trình duyệt, từ SAML hoặc LDAP IDP bên ngoài, cũng như từ Máy chủ quản lý và Giao diện người dùng Edge. Trong quá trình định cấu hình Apigee SSO, bạn có thể chỉ định rằng kết nối bên ngoài sử dụng HTTP hoặc giao thức HTTPS được mã hoá.
SSO Apigee sử dụng cơ sở dữ liệu Postgres có thể truy cập trên cổng 5432 trên nút Postgres. Thông thường, bạn có thể sử dụng cùng một máy chủ Postgres mà bạn đã cài đặt bằng Edge, có thể là một máy chủ Postgres độc lập hoặc hai máy chủ Postgres được định cấu hình ở chế độ chính/chờ. Nếu tải trên máy chủ Postgres của bạn cao, bạn cũng có thể chọn tạo một nút Postgres riêng chỉ dành cho Apigee SSO.
Thêm tính năng hỗ trợ OAuth2 vào Edge cho Đám mây riêng tư
Như đã đề cập ở trên, việc triển khai SAML của Edge dựa vào mã truy cập OAuth2.Do đó, chúng tôi đã thêm tính năng hỗ trợ OAuth2 vào Edge cho Đám mây riêng. Để biết thêm thông tin, hãy xem phần Giới thiệu về OAuth 2.0.
Giới thiệu về SAML
Xác thực SAML mang lại một số lợi ích. Khi sử dụng SAML, bạn có thể:
- Nắm toàn quyền kiểm soát việc quản lý người dùng. Khi người dùng rời khỏi tổ chức của bạn và được huỷ cấp phép tập trung, họ sẽ tự động bị từ chối quyền truy cập vào Edge.
- Kiểm soát cách người dùng xác thực để truy cập vào Edge. Bạn có thể chọn các loại xác thực khác nhau cho các tổ chức Edge khác nhau.
- Kiểm soát các chính sách xác thực. Nhà cung cấp SAML của bạn có thể hỗ trợ các chính sách xác thực phù hợp hơn với tiêu chuẩn của doanh nghiệp.
- Bạn có thể theo dõi hoạt động đăng nhập, đăng xuất, những lần đăng nhập không thành công và các hoạt động có rủi ro cao trên quá trình triển khai Edge.
Khi SAML được bật, quyền truy cập vào giao diện người dùng Edge và API quản lý Edge sẽ sử dụng mã truy cập OAuth2. Các mã thông báo này được tạo bởi mô-đun Apigee SSO, mô-đun này chấp nhận các câu khẳng định SAML do IDP của bạn trả về.
Sau khi được tạo từ một câu khẳng định SAML, mã thông báo OAuth sẽ có hiệu lực trong 30 phút và mã thông báo làm mới sẽ có hiệu lực trong 24 giờ. Môi trường phát triển của bạn có thể hỗ trợ tự động hoá cho các tác vụ phát triển phổ biến, chẳng hạn như tự động hoá kiểm thử hoặc Tích hợp liên tục/Triển khai liên tục (CI/CD), yêu cầu mã thông báo có thời lượng dài hơn. Hãy xem bài viết Sử dụng SAML với các tác vụ tự động để biết thông tin về cách tạo mã thông báo đặc biệt cho các tác vụ tự động.
Giới thiệu về LDAP
Giao thức truy cập thư mục hạng nhẹ (LDAP) là một giao thức ứng dụng tiêu chuẩn ngành mở để truy cập và duy trì các dịch vụ thông tin thư mục phân tán. Các dịch vụ thư mục có thể cung cấp mọi tập hợp bản ghi có tổ chức, thường có cấu trúc phân cấp, chẳng hạn như thư mục email của công ty.
Tính năng xác thực LDAP trong SSO Apigee sử dụng mô-đun LDAP Spring Security. Do đó, các phương thức xác thực và lựa chọn cấu hình để hỗ trợ LDAP của Apigee SSO có mối tương quan trực tiếp với các phương thức và lựa chọn cấu hình có trong LDAP của Spring Security.
LDAP có Edge cho Đám mây riêng tư hỗ trợ các phương thức xác thực sau đây đối với một máy chủ tương thích với LDAP:
- Tìm kiếm và liên kết (liên kết gián tiếp)
- Liên kết đơn giản (liên kết trực tiếp)
Tính năng SSO của Apigee sẽ cố gắng truy xuất địa chỉ email của người dùng và cập nhật bản ghi người dùng nội bộ bằng địa chỉ email đó để có một địa chỉ email hiện tại trong tệp vì Edge sử dụng địa chỉ email này cho mục đích uỷ quyền.
URL của API và giao diện người dùng Edge
URL mà bạn dùng để truy cập vào giao diện người dùng Edge và API quản lý Edge giống với URL bạn dùng trước khi bật SAML hoặc LDAP. Đối với giao diện người dùng Edge:
http://edge_UI_IP_DNS:9000 https://edge_UI_IP_DNS:9000
Trong đó, edge_UI_IP_DNS là địa chỉ IP hoặc tên DNS của máy lưu trữ Giao diện người dùng Edge. Trong quá trình định cấu hình Giao diện người dùng Edge, bạn có thể chỉ định rằng kết nối sử dụng HTTP hoặc giao thức HTTPS được mã hoá.
Đối với API quản lý Edge:
http://ms_IP_DNS:8080/v1 https://ms_IP_DNS:8080/v1
Trong đó ms_IP_DNS là địa chỉ IP hoặc tên DNS của Máy chủ quản lý. Trong quá trình định cấu hình API, bạn có thể chỉ định rằng kết nối sử dụng HTTP hoặc giao thức HTTPS được mã hoá.
Định cấu hình TLS trên Apigee SSO
Theo mặc định, kết nối đến Apigee SSO sử dụng HTTP qua cổng 9099 trên nút lưu trữ apigee-sso, mô-đun Apigee SSO. apigee-sso được tích hợp một phiên bản Tomcat xử lý các yêu cầu HTTP và HTTPS.
SSO Apigee và Tomcat hỗ trợ 3 chế độ kết nối:
- MẶC ĐỊNH: Cấu hình mặc định hỗ trợ các yêu cầu HTTP trên cổng 9099.
- SSL_TERMINATION: Đã bật quyền truy cập TLS vào Apigee SSO trên cổng mà bạn chọn. Bạn phải chỉ định khoá và chứng chỉ TLS cho chế độ này.
- SSL_PROXY: Định cấu hình SSO Apigee ở chế độ proxy, tức là bạn đã cài đặt một trình cân bằng tải ở phía trước
apigee-ssovà chấm dứt TLS trên trình cân bằng tải. Bạn có thể chỉ định cổng được dùng trênapigee-ssocho các yêu cầu từ bộ cân bằng tải.
Bật tính năng hỗ trợ IDP bên ngoài cho cổng
Sau khi bật tính năng hỗ trợ IdP bên ngoài cho Edge, bạn có thể bật tính năng này cho cổng Apigee Developer Services (hoặc đơn giản là cổng). Cổng thông tin này hỗ trợ xác thực SAML và LDAP khi đưa ra yêu cầu đến Edge. Xin lưu ý rằng phương thức này khác với phương thức xác thực SAML và LDAP để nhà phát triển đăng nhập vào cổng thông tin. Bạn định cấu hình riêng quy trình xác thực IDP bên ngoài cho hoạt động đăng nhập của nhà phát triển. Hãy xem phần Định cấu hình cổng thông tin để sử dụng IDP để biết thêm thông tin.
Trong quá trình định cấu hình cổng thông tin, bạn phải chỉ định URL của mô-đun Apigee SSO mà bạn đã cài đặt bằng Edge:
