Apigee-sso für HTTPS-Zugriff konfigurieren

Edge for Private Cloud Version 4.17.09

Unter Edge-SSO installieren und konfigurieren wird beschrieben, wie um das Edge-SSO-Modul so zu installieren und zu konfigurieren, dass es HTTP an Port 9099 verwendet, wie in den folgendes Attribut in der Konfigurationsdatei:

SSO_TOMCAT_PROFILE=DEFAULT

Alternativ können Sie für SSO_TOMCAT_PROFILE einen der folgenden Werte festlegen: , um den HTTPS-Zugriff zu aktivieren:

  • SSL_PROXY – Konfiguriert apigee-sso im Proxymodus, d. h., Sie haben einen Load Balancer vor apigee-sso installiert und TLS beendet aus. Anschließend geben Sie den Port an, der auf apigee-sso für Anfragen aus der Last verwendet wird aus.
  • SSL_TERMINATION – Aktivierter TLS-Zugriff auf apigee-sso, das Edge-SSO-Modul, auf der Port Ihrer Wahl. Sie müssen für diesen Modus einen Schlüsselspeicher angeben, der ein von einem Zertifizierungsstelle. Sie können kein selbst signiertes Zertifikat verwenden.

Sie können HTTPS bei der Erstinstallation und Konfiguration von apigee-sso aktivieren oder später aktivieren.

Wenn Sie den HTTPS-Zugriff auf apigee-sso in einem der beiden Modi aktivieren, wird HTTP Zugriff haben. Das heißt, Sie können nicht mit HTTP und HTTPS auf apigee-sso zugreifen .

SSL_PROXY-Modus aktivieren

Im SSL_PROXY-Modus hat Ihr System verwendet einen Load-Balancer vor dem Edge-SSO-Modul und beendet TLS auf dem Load-Balancer. In In der folgenden Abbildung beendet der Load-Balancer TLS an Port 443 und leitet dann Anfragen an das Edge-SSO-Modul auf Port 9099:

In dieser Konfiguration vertrauen Sie der Verbindung vom Load-Balancer zum Edge-SSO-Modul Für diese Verbindung ist also kein TLS erforderlich. Externe Entitäten, z. B. die SAML-App, IdP, muss jetzt über Port 443 auf das Edge-SSO-Modul zugreifen, nicht über den ungeschützten Port 9099.

Der Grund für die Konfiguration des Edge-SSO-Moduls im Modus SSL_PROXY ist, dass das Edge-SSO-Modul generiert automatisch Weiterleitungs-URLs, die vom IdP extern im Rahmen der Authentifizierung verwendet werden. Daher müssen diese Weiterleitungs-URLs die externe Portnummer auf dem Load-Balancer enthalten, also 443 im und nicht den internen Port des Edge-SSO-Moduls 9099.

Hinweis: Sie müssen für den Modus SSL_PROXY kein TLS-Zertifikat und keinen TLS-Schlüssel erstellen, da die Verbindung von Der Load-Balancer zum Edge-SSO-Modul verwendet HTTP.

So konfigurieren Sie das Edge-SSO-Modul für den SSL_PROXY-Modus:

  1. Fügen Sie der Konfigurationsdatei die folgenden Einstellungen hinzu:
    # SSL_PROXY-Modus aktivieren
    SSO_TOMCAT_PROFILE=SSL_PROXY

    # Geben Sie den Apigee-sso-Port an, normalerweise zwischen 1025 und 65535.
    # In der Regel benötigen die Ports 1024 und niedriger Root-Zugriff durch Apigee-sso.
    # Der Standardwert ist 9099.
    SSO_TOMCAT_PORT=9099

    # Geben Sie die Portnummer auf dem Load-Balancer zum Beenden von TLS an.
    # Diese Portnummer ist erforderlich, damit Apigee-sso automatisch Weiterleitungs-URLs generieren kann.
    SSO_TOMCAT_PROXY_PORT=443
    SSO_PUBLIC_URL_PORT=443

    # Legen Sie das Schema für den öffentlichen Zugriff von Apigee-sso auf https fest.
    SSO_PUBLIC_URL_SCHEME=https
  2. Konfigurieren Sie das Edge-SSO-Modul:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-sso Setup -f configFile
  3. Aktualisieren Sie Ihre IdP-Konfiguration, um jetzt eine HTTPS-Anfrage an Port 443 des Ladevorgangs zu senden -Balancer auf die Edge-SSO zugreifen. Weitere Informationen finden Sie unter SAML konfigurieren IdP.
  4. Aktualisieren Sie die Konfiguration der Edge-Benutzeroberfläche für HTTPS, indem Sie die folgenden Eigenschaften festlegen:
    SSO_PUBLIC_URL_PORT=443
    SSO_PUBLIC_URL_SCHEME=https


    Weitere Informationen finden Sie unter Aktivieren von SAML in der Edge-Benutzeroberfläche.
  5. Wenn Sie das Developer Services-Portal oder API BaaS installiert haben, aktualisieren Sie diese, um HTTPS zu verwenden, auf die Ede-SSO zugreifen. Weitere Informationen: <ph type="x-smartling-placeholder">

SSL_TERMINATION-Modus aktivieren

Für den Modus SSL_TERMINATION geben Sie Folgendes ein: muss:

  • Es wurden ein TLS-Zertifikat und ein TLS-Schlüssel generiert und in einer Schlüsselspeicherdatei gespeichert. Sie können keine ein selbst signiertes Zertifikat. Sie müssen ein Zertifikat von einer Zertifizierungsstelle generieren.
  • Aktualisieren Sie die Konfigurationseinstellungen für apigee-sso.

So erstellen Sie eine Schlüsselspeicherdatei aus Ihrem Zertifikat und Ihrem Schlüssel:

  1. Erstellen Sie ein Verzeichnis für die JKS-Datei:
    &gt; sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  2. Wechseln Sie in das neue Verzeichnis:
    &gt; cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  3. Erstellen Sie eine JKS-Datei mit dem Zertifikat und dem Schlüssel. Sie müssen einen Schlüsselspeicher für diesen Modus angeben die ein von einer Zertifizierungsstelle signiertes Zertifikat enthält. Sie können kein selbst signiertes Zertifikat verwenden. Ein Beispiel für Erstellen einer JKS-Datei finden Sie unter Konfigurieren von TLS/SSL für Edge On Gebäude.
  4. JKS-Datei erstellen, die dem „Apigee“ gehört Nutzer:
    &gt; sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

So konfigurieren Sie das Edge-SSO-Modul:

  1. Fügen Sie der Konfigurationsdatei die folgenden Einstellungen hinzu:
    # SSL_TERMINATION-Modus aktivieren.
    SSO_TOMCAT_PROFILE=SSL_TERMINATION

    # Geben Sie den Pfad zur Keystore-Datei an.
    SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
    SSO_TOMCAT_KEYSTORE_ALIAS=sso

    # Das Passwort, das beim Erstellen des Schlüsselspeichers angegeben wurde.
    SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

    # Geben Sie die HTTPS-Portnummer zwischen 1025 und 65535 an.
    # In der Regel benötigen die Ports 1024 und niedriger Root-Zugriff durch Apigee-sso.
    # Der Standardwert ist 9099.
    SSO_TOMCAT_PORT=9443
    SSO_PUBLIC_URL_PORT=9443

    # Legen Sie das Schema für den öffentlichen Zugriff von Apigee-sso auf https fest.
    SSO_PUBLIC_URL_SCHEME=https
  2. Konfigurieren Sie das Edge-SSO-Modul:
    &gt; /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
  3. Aktualisieren Sie Ihre IdP-Konfiguration, um jetzt eine HTTPS-Anfrage an Port 9443 des Ladevorgangs zu senden -Balancer auf die Edge-SSO zugreifen. Weitere Informationen finden Sie unter SAML konfigurieren IdP.
  4. Aktualisieren Sie die Konfiguration der Edge-Benutzeroberfläche für HTTPS, indem Sie die folgenden Eigenschaften festlegen:
    SSO_PUBLIC_URL_PORT=9443
    SSO_PUBLIC_URL_SCHEME=https


    Weitere Informationen finden Sie unter Aktivieren von SAML in der Edge-Benutzeroberfläche.
  5. Wenn Sie das Developer Services-Portal oder API BaaS installiert haben, aktualisieren Sie diese, um HTTPS zu verwenden, auf die Ede-SSO zugreifen. Weitere Informationen: <ph type="x-smartling-placeholder">

SSO_TOMCAT_PROXY_PORT bei Verwendung des SSL_TERMINATION-Modus festlegen

Möglicherweise haben Sie vor dem Edge-SSO-Modul einen Load-Balancer, der TLS bei der Last beendet. TLS zwischen dem Load-Balancer und der Edge-SSO. In der Abbildung oben für den SSL_PROXY-Modus: bedeutet, dass die Verbindung vom Load-Balancer zu Edge-SSO TLS verwendet.

In diesem Szenario konfigurieren Sie TLS bei Edge-SSO genau wie oben für den Modus SSL_TERMINATION. Wenn die Belastung Balancer eine andere TLS-Portnummer verwendet als Edge SSO für TLS, dann müssen Sie auch angeben den SSO_TOMCAT_PROXY_PORT in der Konfigurationsdatei. Beispiel:

  • Der Load-Balancer beendet TLS an Port 443
  • Edge-SSO beendet TLS an Port 9443

Achten Sie darauf, die folgende Einstellung in die Konfigurationsdatei aufzunehmen:

# Port angeben auf dem Load-Balancer zum Beenden von TLS.
# Diese Portnummer ist erforderlich für Apigee-sso zurGeneration von Weiterleitungen URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

Konfigurieren Sie den IdP und die Edge-Benutzeroberfläche so, dass HTTPS-Anfragen an Port 443 gesendet werden.