Edge for Private Cloud نسخه 4.17.09
نصب و پیکربندی Edge SSO نحوه نصب و پیکربندی ماژول Edge SSO برای استفاده از HTTP در پورت 9099 را شرح میدهد، همانطور که توسط ویژگی زیر در فایل پیکربندی مشخص شده است:
SSO_TOMCAT_PROFILE=DEFAULT
همچنین، میتوانید SSO_TOMCAT_PROFILE را روی یکی از مقادیر زیر برای فعال کردن دسترسی HTTPS تنظیم کنید:
- SSL_PROXY - apigee-sso را در حالت پراکسی پیکربندی می کند، به این معنی که شما یک load balancer را در جلوی apigee-sso نصب کرده اید و TLS را در load balancer خاتمه داده اید. سپس پورت مورد استفاده در apigee-sso را برای درخواست های load balancer مشخص می کنید.
- SSL_TERMINATION - دسترسی TLS به apigee-sso ، ماژول Edge SSO را در پورت انتخابی شما فعال کرد. شما باید یک فروشگاه کلید برای این حالت مشخص کنید که حاوی گواهی امضا شده توسط یک CA باشد. شما نمی توانید از گواهی خود امضا شده استفاده کنید.
میتوانید انتخاب کنید که HTTPS را در زمان نصب و پیکربندی apigee-sso در ابتدا فعال کنید، یا میتوانید بعداً آن را فعال کنید.
فعال کردن دسترسی HTTPS به apigee-sso با استفاده از هر حالت، دسترسی HTTP را غیرفعال میکند. یعنی نمی توانید به apigee-sso با استفاده از HTTP و HTTPS به طور همزمان دسترسی داشته باشید.
حالت SSL_PROXY را فعال کنید
در حالت SSL_PROXY ، سیستم شما از یک متعادل کننده بار در جلوی ماژول Edge SSO استفاده می کند و TLS را در بار متعادل کننده خاتمه می دهد. در شکل زیر، بار متعادل کننده TLS را در پورت 443 خاتمه می دهد و سپس درخواست ها را به ماژول Edge SSO در پورت 9099 ارسال می کند:
در این پیکربندی، شما به اتصال از متعادل کننده بار به ماژول Edge SSO اعتماد دارید، بنابراین نیازی به استفاده از TLS برای آن اتصال نیست. با این حال، موجودیت های خارجی، مانند SAML IDP، اکنون باید به ماژول Edge SSO در پورت 443 دسترسی داشته باشند، نه در پورت محافظت نشده 9099.
دلیل پیکربندی ماژول Edge SSO در حالت SSL_PROXY این است که ماژول Edge SSO URL های تغییر مسیر را به طور خودکار ایجاد می کند که توسط IDP به عنوان بخشی از فرآیند احراز هویت استفاده می شود. بنابراین، این URL های تغییر مسیر باید شامل شماره پورت خارجی در بار متعادل کننده، 443 در این مثال، و نه پورت داخلی در ماژول Edge SSO، 9099 باشد.
توجه : برای حالت SSL_PROXY نیازی به ایجاد گواهی TLS و کلید ندارید زیرا اتصال از بار متعادل کننده به ماژول Edge SSO از HTTP استفاده می کند.
برای پیکربندی ماژول Edge SSO برای حالت SSL_PROXY :
- تنظیمات زیر را به فایل کانفیگ خود اضافه کنید:
# حالت SSL_PROXY را فعال کنید.
SSO_TOMCAT_PROFILE=SSL_PROXY
# پورت apigee-sso را مشخص کنید، معمولاً بین 1025 و 65535.
# معمولاً پورتهای 1024 و پایینتر به دسترسی ریشه توسط apigee-sso نیاز دارند.
# پیش فرض 9099 است.
SSO_TOMCAT_PORT=9099
# شماره پورت را در بار متعادل کننده برای خاتمه TLS مشخص کنید.
# این شماره پورت برای apigee-sso برای تولید خودکار URLهای تغییر مسیر ضروری است.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443
# طرح دسترسی عمومی apigee-sso را روی https تنظیم کنید.
SSO_PUBLIC_URL_SCHEME=https - ماژول Edge SSO را پیکربندی کنید:
> /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile - پیکربندی IDP خود را به روز کنید تا اکنون یک درخواست HTTPS در پورت 443 متعادل کننده بار برای دسترسی به Edge SSO داشته باشید. برای اطلاعات بیشتر به پیکربندی SAML IDP خود مراجعه کنید.
- با تنظیم ویژگی های زیر، پیکربندی رابط کاربری Edge خود را برای HTTPS به روز کنید:
SSO_PUBLIC_URL_PORT=443
SSO_PUBLIC_URL_SCHEME=https
برای اطلاعات بیشتر به فعال کردن SAML در رابط کاربری Edge مراجعه کنید. - اگر پورتال Developer Services یا API BaaS را نصب کرده اید، آنها را به روز کنید تا از HTTPS برای دسترسی به Ede SSO استفاده کنید. برای اطلاعات بیشتر، نگاه کنید به:
حالت SSL_TERMINATION را فعال کنید
برای حالت SSL_TERMINATION ، باید:
- یک گواهی و کلید TLS ایجاد کرده و آنها را در یک فایل فروشگاه کلید ذخیره می کند. شما نمی توانید از گواهی خود امضا شده استفاده کنید. شما باید یک گواهی از یک CA ایجاد کنید.
- تنظیمات پیکربندی apigee-sso را به روز کنید.
برای ایجاد یک فایل ذخیره کلید از گواهی و کلید خود:
- یک دایرکتوری برای فایل JKS ایجاد کنید:
> sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/ - تغییر به دایرکتوری جدید:
> سی دی /opt/apigee/customer/application/apigee-sso/tomcat-ssl/ - یک فایل JKS حاوی گواهی و کلید ایجاد کنید. شما باید یک فروشگاه کلید برای این حالت مشخص کنید که حاوی گواهی امضا شده توسط یک CA باشد. شما نمی توانید از گواهی خود امضا شده استفاده کنید. برای مثالی از ایجاد یک فایل JKS، به پیکربندی TLS/SSL برای Edge On Premises مراجعه کنید.
- فایل JKS را متعلق به کاربر "apigee" کنید:
> sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl
برای پیکربندی ماژول Edge SSO:
- تنظیمات زیر را به فایل کانفیگ خود اضافه کنید:
# حالت SSL_TERMINATION را فعال کنید.
SSO_TOMCAT_PROFILE=SSL_TERMINATION
# مسیر فایل keystore را مشخص کنید.
SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
SSO_TOMCAT_KEYSTORE_ALIAS=sso
# رمز عبور مشخص شده هنگام ایجاد keystore.
SSO_TOMCAT_KEYSTORE_PASSWORD= keystorePassword
# شماره پورت HTTPS را بین 1025 و 65535 مشخص کنید.
# معمولاً پورتهای 1024 و پایینتر به دسترسی ریشه توسط apigee-sso نیاز دارند.
# پیش فرض 9099 است.
SSO_TOMCAT_PORT=9443
SSO_PUBLIC_URL_PORT=9443
# طرح دسترسی عمومی apigee-sso را روی https تنظیم کنید.
SSO_PUBLIC_URL_SCHEME=https - ماژول Edge SSO را پیکربندی کنید:
> /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile - پیکربندی IDP خود را به روز کنید تا اکنون یک درخواست HTTPS در پورت 9443 متعادل کننده بار برای دسترسی به Edge SSO داشته باشید. برای اطلاعات بیشتر به پیکربندی SAML IDP خود مراجعه کنید.
- با تنظیم ویژگی های زیر، پیکربندی رابط کاربری Edge خود را برای HTTPS به روز کنید:
SSO_PUBLIC_URL_PORT=9443
SSO_PUBLIC_URL_SCHEME=https
برای اطلاعات بیشتر به فعال کردن SAML در رابط کاربری Edge مراجعه کنید. - اگر پورتال Developer Services یا API BaaS را نصب کرده اید، آنها را به روز کنید تا از HTTPS برای دسترسی به Ede SSO استفاده کنید. برای اطلاعات بیشتر، نگاه کنید به:
تنظیم SSO_TOMCAT_PROXY_PORT هنگام استفاده از حالت SSL_TERMINATION
ممکن است یک بار متعادل کننده در جلوی ماژول Edge SSO داشته باشید که TLS را در بار متعادل کننده خاتمه می دهد، اما TLS بین بار متعادل کننده و Edge SSO را نیز فعال می کند. در شکل بالا برای حالت SSL_PROXY ، این بدان معناست که اتصال از بار متعادل کننده به Edge SSO از TLS استفاده می کند.
در این سناریو، همانطور که در بالا برای حالت SSL_TERMINATION انجام دادید، TLS را روی Edge SSO پیکربندی میکنید. با این حال، اگر متعادل کننده بار از شماره پورت TLS متفاوتی نسبت به Edge SSO برای TLS استفاده می کند، باید ویژگی SSO_TOMCAT_PROXY_PORT را نیز در فایل پیکربندی مشخص کنید. به عنوان مثال:
- متعادل کننده بار TLS را در پورت 443 خاتمه می دهد
- Edge SSO TLS را در پورت 9443 خاتمه می دهد
حتما تنظیمات زیر را در فایل کانفیگ قرار دهید:
# شماره پورت را در بار متعادل کننده برای خاتمه TLS مشخص کنید.
# این شماره پورت برای apigee-sso برای ایجاد URL های تغییر مسیر ضروری است.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443
IDP و Edge UI را برای درخواست HTTPS در پورت 443 پیکربندی کنید.