HTTPS অ্যাক্সেসের জন্য apigee-sso কনফিগার করুন

ব্যক্তিগত ক্লাউডের জন্য প্রান্ত v. 4.17.09

এজ এসএসও ইনস্টল এবং কনফিগার করুন পোর্ট 9099-এ HTTP ব্যবহার করার জন্য এজ এসএসও মডিউলটি কীভাবে ইনস্টল এবং কনফিগার করবেন তা বর্ণনা করে, যেমন কনফিগার ফাইলে নিম্নলিখিত বৈশিষ্ট্য দ্বারা নির্দিষ্ট করা হয়েছে:

SSO_TOMCAT_PROFILE=DEFAULT

বিকল্পভাবে, আপনি HTTPS অ্যাক্সেস সক্ষম করতে নিম্নলিখিত মানগুলির মধ্যে একটিতে SSO_TOMCAT_PROFILE সেট করতে পারেন:

  • SSL_PROXY - প্রক্সি মোডে apigee-sso কনফিগার করে, মানে আপনি apigee-sso- এর সামনে একটি লোড ব্যালেন্সার ইনস্টল করেছেন এবং লোড ব্যালেন্সারে TLS বন্ধ করেছেন৷ তারপরে আপনি লোড ব্যালেন্সার থেকে অনুরোধের জন্য apigee-sso- তে ব্যবহৃত পোর্টটি নির্দিষ্ট করুন।
  • SSL_TERMINATION - আপনার পছন্দের পোর্টে apigee-sso , এজ SSO মডিউলে TLS অ্যাক্সেস সক্ষম করা হয়েছে। এই মোডের জন্য আপনাকে অবশ্যই একটি কীস্টোর নির্দিষ্ট করতে হবে যাতে একটি CA দ্বারা স্বাক্ষরিত একটি শংসাপত্র রয়েছে৷ আপনি একটি স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করতে পারবেন না।

আপনি প্রাথমিকভাবে apigee-sso ইনস্টল এবং কনফিগার করার সময়ে HTTPS সক্ষম করতে বেছে নিতে পারেন, অথবা আপনি পরে এটি সক্ষম করতে পারেন।

যেকোনো একটি মোড ব্যবহার করে apigee-sso- তে HTTPS অ্যাক্সেস সক্ষম করা HTTP অ্যাক্সেস অক্ষম করে। অর্থাৎ, আপনি একই সাথে HTTP এবং HTTPS উভয় ব্যবহার করে apigee-sso অ্যাক্সেস করতে পারবেন না।

SSL_PROXY মোড সক্ষম করুন৷

SSL_PROXY মোডে, আপনার সিস্টেম এজ SSO মডিউলের সামনে একটি লোড ব্যালেন্সার ব্যবহার করে এবং লোড ব্যালেন্সারে TLS বন্ধ করে দেয়। নিম্নলিখিত চিত্রে, লোড ব্যালেন্সারটি পোর্ট 443-এ TLS বন্ধ করে এবং তারপর পোর্ট 9099-এ এজ SSO মডিউলে অনুরোধগুলি ফরোয়ার্ড করে:

এই কনফিগারেশনে, আপনি লোড ব্যালেন্সার থেকে এজ SSO মডিউলের সংযোগে বিশ্বাস করেন তাই সেই সংযোগের জন্য TLS ব্যবহার করার প্রয়োজন নেই৷ যাইহোক, SAML IDP-এর মতো বাহ্যিক সংস্থাগুলিকে এখন পোর্ট 443-এ এজ SSO মডিউল অ্যাক্সেস করতে হবে, 9099-এর অরক্ষিত পোর্টে নয়।

SSL_PROXY মোডে এজ এসএসও মডিউল কনফিগার করার কারণ হল যে এজ এসএসও মডিউলটি প্রমাণীকরণ প্রক্রিয়ার অংশ হিসাবে IDP দ্বারা বাহ্যিকভাবে ব্যবহৃত ইউআরএলগুলি স্বয়ংক্রিয়ভাবে তৈরি করে। তাই, এই রিডাইরেক্ট ইউআরএলগুলিতে লোড ব্যালেন্সারের বাহ্যিক পোর্ট নম্বর থাকতে হবে, এই উদাহরণে 443, এবং এজ SSO মডিউল, 9099-এর অভ্যন্তরীণ পোর্ট নয়।

দ্রষ্টব্য : আপনাকে SSL_PROXY মোডের জন্য একটি TLS শংসাপত্র এবং কী তৈরি করতে হবে না কারণ লোড ব্যালেন্সার থেকে এজ SSO মডিউলের সংযোগ HTTP ব্যবহার করে৷

SSL_PROXY মোডের জন্য এজ SSO মডিউল কনফিগার করতে:

  1. আপনার কনফিগারেশন ফাইলে নিম্নলিখিত সেটিংস যোগ করুন:
    # SSL_PROXY মোড সক্ষম করুন।
    SSO_TOMCAT_PROFILE=SSL_PROXY

    # apigee-sso পোর্ট নির্দিষ্ট করুন, সাধারণত 1025 এবং 65535 এর মধ্যে।
    # সাধারণত 1024 এবং নীচের পোর্টের জন্য apigee-sso দ্বারা রুট অ্যাক্সেসের প্রয়োজন হয়।
    # ডিফল্ট হল 9099।
    SSO_TOMCAT_PORT=9099

    # TLS বন্ধ করার জন্য লোড ব্যালেন্সারের পোর্ট নম্বর উল্লেখ করুন।
    # এই পোর্ট নম্বরটি apigee-sso-এর জন্য স্বয়ংক্রিয়ভাবে পুনঃনির্দেশ URL গুলি তৈরি করতে প্রয়োজনীয়৷
    SSO_TOMCAT_PROXY_PORT=443
    SSO_PUBLIC_URL_PORT=443

    # অ্যাপিজি-এসএসও-এর পাবলিক অ্যাক্সেস স্কিম https-এ সেট করুন।
    SSO_PUBLIC_URL_SCHEME=https
  2. এজ এসএসও মডিউল কনফিগার করুন:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-sso সেটআপ -f কনফিগার ফাইল
  3. এজ SSO অ্যাক্সেস করতে লোড ব্যালেন্সারের পোর্ট 443-এ এখন একটি HTTPS অনুরোধ করতে আপনার IDP কনফিগারেশন আপডেট করুন। আরও জানতে আপনার SAML IDP কনফিগার করুন দেখুন।
  4. নিম্নলিখিত বৈশিষ্ট্যগুলি সেট করে HTTPS-এর জন্য আপনার এজ UI কনফিগারেশন আপডেট করুন:
    SSO_PUBLIC_URL_PORT=443
    SSO_PUBLIC_URL_SCHEME=https

    আরও জানতে এজ UI-তে SAML সক্ষম করুন দেখুন।
  5. আপনি যদি ডেভেলপার সার্ভিসেস পোর্টাল বা API BaaS ইনস্টল করেন, তাহলে Ede SSO অ্যাক্সেস করতে HTTPS ব্যবহার করতে তাদের আপডেট করুন। আরো জন্য, দেখুন:

SSL_TERMINATION মোড সক্ষম করুন৷

SSL_TERMINATION মোডের জন্য, আপনাকে অবশ্যই:

  • একটি TLS শংসাপত্র এবং কী তৈরি করে এবং সেগুলিকে একটি কীস্টোর ফাইলে সংরক্ষণ করে৷ আপনি একটি স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করতে পারবেন না। আপনাকে অবশ্যই একটি CA থেকে একটি শংসাপত্র তৈরি করতে হবে৷
  • apigee-sso-এর জন্য কনফিগারেশন সেটিংস আপডেট করুন।

আপনার শংসাপত্র এবং কী থেকে একটি কীস্টোর ফাইল তৈরি করতে:

  1. JKS ফাইলের জন্য একটি ডিরেক্টরি তৈরি করুন:
    > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  2. নতুন ডিরেক্টরিতে পরিবর্তন করুন:
    > cd/opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  3. শংসাপত্র এবং কী ধারণকারী একটি JKS ফাইল তৈরি করুন। এই মোডের জন্য আপনাকে অবশ্যই একটি কীস্টোর নির্দিষ্ট করতে হবে যাতে একটি CA দ্বারা স্বাক্ষরিত একটি শংসাপত্র রয়েছে৷ আপনি একটি স্ব-স্বাক্ষরিত শংসাপত্র ব্যবহার করতে পারবেন না। একটি JKS ফাইল তৈরির উদাহরণের জন্য, এজ অন প্রিমিসেসের জন্য TLS/SSL কনফিগার করা দেখুন।
  4. JKS ফাইলটিকে "apigee" ব্যবহারকারীর মালিকানাধীন করুন:
    > sudo chown -R apigee:apigee/opt/apigee/customer/application/apigee-sso/tomcat-ssl

এজ এসএসও মডিউল কনফিগার করতে:

  1. আপনার কনফিগারেশন ফাইলে নিম্নলিখিত সেটিংস যোগ করুন:
    # SSL_TERMINATION মোড সক্ষম করুন।
    SSO_TOMCAT_PROFILE=SSL_TERMINATION

    # কীস্টোর ফাইলের পাথ নির্দিষ্ট করুন।
    SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
    SSO_TOMCAT_KEYSTORE_ALIAS=sso

    # আপনি কীস্টোর তৈরি করার সময় পাসওয়ার্ডটি উল্লেখ করা হয়েছে।
    SSO_TOMCAT_KEYSTORE_PASSWORD= কীস্টোর পাসওয়ার্ড

    # 1025 এবং 65535 এর মধ্যে HTTPS পোর্ট নম্বর উল্লেখ করুন।
    # সাধারণত 1024 এবং নীচের পোর্টের জন্য apigee-sso দ্বারা রুট অ্যাক্সেসের প্রয়োজন হয়।
    # ডিফল্ট হল 9099।
    SSO_TOMCAT_PORT=9443
    SSO_PUBLIC_URL_PORT=9443

    # অ্যাপিজি-এসএসও-এর পাবলিক অ্যাক্সেস স্কিম https-এ সেট করুন।
    SSO_PUBLIC_URL_SCHEME=https
  2. এজ এসএসও মডিউল কনফিগার করুন:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-sso সেটআপ -f কনফিগার ফাইল
  3. এজ এসএসও অ্যাক্সেস করতে লোড ব্যালেন্সারের পোর্ট 9443-এ এখন একটি HTTPS অনুরোধ করতে আপনার IDP কনফিগারেশন আপডেট করুন। আরও জানতে আপনার SAML IDP কনফিগার করুন দেখুন।
  4. নিম্নলিখিত বৈশিষ্ট্যগুলি সেট করে HTTPS-এর জন্য আপনার এজ UI কনফিগারেশন আপডেট করুন:
    SSO_PUBLIC_URL_PORT=9443
    SSO_PUBLIC_URL_SCHEME=https

    আরও জানতে এজ UI-তে SAML সক্ষম করুন দেখুন।
  5. আপনি যদি ডেভেলপার সার্ভিসেস পোর্টাল বা API BaaS ইনস্টল করেন, তাহলে Ede SSO অ্যাক্সেস করতে HTTPS ব্যবহার করতে তাদের আপডেট করুন। আরো জন্য, দেখুন:

SSL_TERMINATION মোড ব্যবহার করার সময় SSO_TOMCAT_PROXY_PORT সেট করা হচ্ছে

আপনার এজ এসএসও মডিউলের সামনে একটি লোড ব্যালেন্সার থাকতে পারে যা লোড ব্যালেন্সারে টিএলএস বন্ধ করে দেয় তবে লোড ব্যালেন্সার এবং এজ এসএসও-এর মধ্যে TLS সক্ষম করে। SSL_PROXY মোডের জন্য উপরের চিত্রে, এর মানে হল লোড ব্যালেন্সার থেকে এজ SSO-এর সংযোগ TLS ব্যবহার করে।

এই পরিস্থিতিতে, আপনি SSL_TERMINATION মোডের জন্য উপরে যেমনটি করেছেন ঠিক তেমনই আপনি এজ SSO-তে TLS কনফিগার করেছেন। যাইহোক, যদি লোড ব্যালেন্সারটি এজ এসএসও TLS-এর জন্য ব্যবহার করে তার থেকে একটি ভিন্ন TLS পোর্ট নম্বর ব্যবহার করে, তাহলে আপনাকে অবশ্যই কনফিগার ফাইলে SSO_TOMCAT_PROXY_PORT বৈশিষ্ট্য উল্লেখ করতে হবে। উদাহরণ স্বরূপ:

  • লোড ব্যালেন্সার পোর্ট 443 এ TLS বন্ধ করে দেয়
  • এজ এসএসও 9443 পোর্টে TLS বন্ধ করে

কনফিগারেশন ফাইলে নিম্নলিখিত সেটিং অন্তর্ভুক্ত করা নিশ্চিত করুন:

# TLS বন্ধ করার জন্য লোড ব্যালেন্সারের পোর্ট নম্বর উল্লেখ করুন।
# এই পোর্ট নম্বরটি apigee-sso-এর জন্য প্রয়োজনীয় ইউআরএলগুলিকে পুনঃনির্দেশিত করার জন্য।
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

পোর্ট 443-এ HTTPS অনুরোধ করতে IDP এবং Edge UI কনফিগার করে।