एचटीटीपीएस ऐक्सेस करने के लिए, apigee-sso कॉन्फ़िगर करें

Edge for Private Cloud v. 4.17.09

Edge एसएसओ (SSO) को इंस्टॉल और कॉन्फ़िगर करने से पता चलता है कि पोर्ट 9099 पर एचटीटीपी का इस्तेमाल करने के लिए, Edge एसएसओ (SSO) मॉड्यूल को कैसे इंस्टॉल और कॉन्फ़िगर करें. कॉन्फ़िगरेशन फ़ाइल में इस प्रॉपर्टी के ज़रिए बताया गया है:

SSO_TOMCAT_PROFILE=DEFAULT

इसके अलावा, एचटीटीपीएस का ऐक्सेस चालू करने के लिए, SSO_TOMCAT_PROFILE को इनमें से किसी एक वैल्यू पर सेट किया जा सकता है:

  • SSL_PROXY - प्रॉक्सी मोड में, apigee-sso को कॉन्फ़िगर करता है. इसका मतलब है कि आपने apigee-sso के आगे लोड बैलेंसर इंस्टॉल किया है और लोड बैलेंसर पर TLS को खत्म कर दिया है. इसके बाद, लोड बैलेंसर से मिले अनुरोधों के लिए, apigee-sso पर इस्तेमाल किया गया पोर्ट तय करें.
  • SSL_TERMINATION - आपकी पसंद के पोर्ट पर, apigee-sso, Edge एसएसओ (SSO) मॉड्यूल के लिए TLS का ऐक्सेस चालू कर दिया गया है. इस मोड के लिए आपको ऐसा कीस्टोर तय करना होगा जिसमें किसी सर्टिफ़िकेट पर CA का हस्ताक्षर हो. खुद हस्ताक्षर किए गए सर्टिफ़िकेट का इस्तेमाल नहीं किया जा सकता.

apigee-sso को इंस्टॉल और कॉन्फ़िगर करते समय एचटीटीपीएस को चालू किया जा सकता है या इसे बाद में भी चालू किया जा सकता है.

किसी भी मोड का इस्तेमाल करके, apigee-sso के लिए एचटीटीपीएस ऐक्सेस चालू करने पर एचटीटीपी ऐक्सेस बंद हो जाता है. इसका मतलब है कि एक साथ एचटीटीपी और एचटीटीपीएस, दोनों का इस्तेमाल करके apigee-sso को ऐक्सेस नहीं किया जा सकता.

SSL_PROXY मोड सक्षम करें

SSL_PROXY मोड में, आपका सिस्टम Edge एसएसओ मॉड्यूल के सामने लोड बैलेंसर का इस्तेमाल करता है और लोड बैलेंसर पर TLS को खत्म कर देता है. यहां दिए गए डायग्राम में, लोड बैलेंसर, पोर्ट 443 पर TLS को खत्म कर देता है. इसके बाद, पोर्ट 9099 पर Edge एसएसओ (SSO) मॉड्यूल पर अनुरोधों को फ़ॉरवर्ड करता है:

इस कॉन्फ़िगरेशन में, आपको लोड बैलेंसर से Edge एसएसओ (SSO) मॉड्यूल के कनेक्शन पर भरोसा है. इसलिए, इस कनेक्शन के लिए TLS का इस्तेमाल करने की ज़रूरत नहीं है. हालांकि, बाहरी इकाइयों, जैसे कि एसएएमएल आईडीपी को अब पोर्ट 443 पर Edge एसएसओ (SSO) मॉड्यूल को ऐक्सेस करना होगा, न कि 9099 के असुरक्षित पोर्ट पर.

Edge एसएसओ (SSO) मॉड्यूल को SSL_PROXY मोड में कॉन्फ़िगर करने की वजह यह है कि Edge एसएसओ (SSO) मॉड्यूल, पुष्टि करने की प्रक्रिया के तहत उन रीडायरेक्ट यूआरएल को अपने-आप जनरेट करता है जिनका इस्तेमाल आईडीपी (IdP) बाहर से करता है. इसलिए, इन रीडायरेक्ट यूआरएल में लोड बैलेंसर पर बाहरी पोर्ट नंबर होना चाहिए, इस उदाहरण में 443 होना चाहिए, न कि Edge एसएसओ (SSO) मॉड्यूल पर इंटरनल पोर्ट, 9099.

ध्यान दें: आपको SSL_PROXY मोड के लिए TLS सर्टिफ़िकेट और कुंजी बनाने की ज़रूरत नहीं है, क्योंकि लोड बैलेंसर से Edge एसएसओ (SSO) मॉड्यूल का कनेक्शन एचटीटीपी का इस्तेमाल करता है.

SSL_PROXY मोड के लिए, Edge एसएसओ (SSO) मॉड्यूल कॉन्फ़िगर करने के लिए:

  1. अपनी कॉन्फ़िगरेशन फ़ाइल में ये सेटिंग जोड़ें:
    # SSL_PROXY मोड को चालू करें.
    एसएसओ (SSO_TOMCAT_PROFILE=SSL_PROXY)

    # आम तौर पर, 1025 और 65535 के बीच के apigee-sso पोर्ट की जानकारी दें.
    # आम तौर पर, 1024 और इससे पहले के पोर्ट को apigee-sso से रूट ऐक्सेस की ज़रूरत होती है.
    # डिफ़ॉल्ट वैल्यू 9099 है.
    एसएसओ (SSO_TOMCAT_port=9099)

    # TLS को खत्म करने के लिए, लोड बैलेंसर पर पोर्ट नंबर डालें.
    # apigee-sso के लिए यह पोर्ट नंबर अपने-आप जनरेट होने के लिए ज़रूरी है, ताकि रीडायरेक्ट यूआरएल अपने-आप जनरेट हो सकें.
    एसएसओ (SSO_TOMCAT_PROXY_PORT=443)
    एसएसओ (SSO_PUBLIC_URL_PORT=443)

    # apigee-sso की सार्वजनिक ऐक्सेस स्कीम को https पर सेट करें.
    SSO_PUBLIC_URL_SCHEME=https
  2. Edge एसएसओ (SSO) मॉड्यूल कॉन्फ़िगर करें:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
  3. अब अपने आईडीपी कॉन्फ़िगरेशन को अपडेट करें, ताकि लोड बैलेंसर के पोर्ट 443 पर एचटीटीपीएस अनुरोध भेजकर Edge एसएसओ (SSO) को ऐक्सेस किया जा सके. ज़्यादा जानकारी के लिए, अपना एसएएमएल आईडीपी कॉन्फ़िगर करना देखें.
  4. इन प्रॉपर्टी को सेट करके, एचटीटीपीएस के लिए अपना Edge यूज़र इंटरफ़ेस (यूआई) कॉन्फ़िगरेशन अपडेट करें:
    SSO_PUBLIC_URL_port=443
    एसएसओ (SSO_PUBLIC_URL_SCHEME=https    )

    ज़्यादा जानकारी के लिए, एजेड यूज़र इंटरफ़ेस (यूआई) पर एसएएमएल को चालू करें देखें.
  5. अगर आपने डेवलपर सेवाओं का पोर्टल या API BaaS इंस्टॉल किया है, तो Ede एसएसओ (SSO) को ऐक्सेस करने के लिए एचटीटीपीएस का इस्तेमाल करने के लिए उन्हें अपडेट करें. ज़्यादा जानकारी के लिए, देखें:

SSL_TERMINATION मोड चालू करें

SSL_TERMINATION मोड के लिए, आपको ये ज़रूरी शर्तें पूरी करनी होंगी:

  • TLS प्रमाणपत्र और कुंजी जनरेट की है और उन्हें कीस्टोर फ़ाइल में स्टोर किया है. खुद ही हस्ताक्षर किए गए सर्टिफ़िकेट का इस्तेमाल नहीं किया जा सकता. आपको सीए से सर्टिफ़िकेट जनरेट करना होगा.
  • apigee-sso. के लिए कॉन्फ़िगरेशन सेटिंग अपडेट करें.

अपने सर्टिफ़िकेट और कुंजी से कीस्टोर फ़ाइल बनाने के लिए:

  1. JKS फ़ाइल के लिए एक डायरेक्ट्री बनाएं:
    > sudo mkder -p /opt/apigee/customer/application/apigee-sso/tomcat-SSL/
  2. नई डायरेक्ट्री में बदलें:
    > cd /opt/apigee/customer/application/apigee-sso/tomcat-SSL/
  3. सर्टिफ़िकेट और कुंजी वाली एक JKS फ़ाइल बनाएं. इस मोड के लिए आपको ऐसा कीस्टोर तय करना होगा जिसमें सीए के ज़रिए हस्ताक्षर किया गया सर्टिफ़िकेट शामिल हो. खुद हस्ताक्षर किए गए सर्टिफ़िकेट का इस्तेमाल नहीं किया जा सकता. JKS फ़ाइल बनाने के उदाहरण के लिए, Edge On Premises के लिए TLS/एसएसएल को कॉन्फ़िगर करना देखें.
  4. "apigee" उपयोगकर्ता के मालिकाना हक वाली JKS फ़ाइल बनाएं:
    > sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-एसएसएल

Edge एसएसओ (SSO) मॉड्यूल को कॉन्फ़िगर करने के लिए:

  1. अपनी कॉन्फ़िगरेशन फ़ाइल में ये सेटिंग जोड़ें:
    # SSL_TERMINATION मोड चालू करें.
    एसएसओ (SSO_TOMCAT_PROFILE=SSL_TERMINATION)

    # कीस्टोर फ़ाइल का पाथ बताएं.
    एसएसओ (SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-एसएसएल/keystore.jks
    एसएसओ (SSO_TOMCAT_KEYSTORE_ALIAS=sso)
    # कीस्टोर बनाते समय दिया गया पासवर्ड होता है.

    एसएसओ (SSO_TOMCAT_KEYSTORE__का_पासवर्ड)keystorePassword

    # 1025 और 65535 के बीच का एचटीटीपीएस पोर्ट नंबर डालें.
    # आम तौर पर, 1024 और इससे पहले के पोर्ट को apigee-sso से रूट ऐक्सेस की ज़रूरत होती है.
    # डिफ़ॉल्ट वैल्यू 9099 है.
    एसएसओ (SSO_TOMCAT_PORT=9443)
    एसएसओ (SSO_PUBLIC_URL_port=9443)

    # apigee-sso की सार्वजनिक ऐक्सेस स्कीम को https पर सेट करें.
    SSO_PUBLIC_URL_SCHEME=https
  2. Edge एसएसओ (SSO) मॉड्यूल कॉन्फ़िगर करें:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
  3. अब अपने आईडीपी कॉन्फ़िगरेशन को अपडेट करें, ताकि लोड बैलेंसर के पोर्ट 9443 पर Edge एसएसओ (SSO) को ऐक्सेस करने के लिए एचटीटीपीएस अनुरोध किया जा सके. ज़्यादा जानकारी के लिए, अपना एसएएमएल आईडीपी कॉन्फ़िगर करना देखें.
  4. इन प्रॉपर्टी को सेट करके, एचटीटीपीएस के लिए अपना Edge यूज़र इंटरफ़ेस (यूआई) कॉन्फ़िगरेशन अपडेट करें:
    SSO_PUBLIC_URL_port=9443
    एसएसओ (SSO_PUBLIC_URL_SCHEME=https    )

    ज़्यादा जानकारी के लिए, एजेड यूज़र इंटरफ़ेस (यूआई) पर एसएएमएल चालू करें देखें.
  5. अगर आपने डेवलपर सेवाओं का पोर्टल या API BaaS इंस्टॉल किया है, तो Ede एसएसओ (SSO) को ऐक्सेस करने के लिए एचटीटीपीएस का इस्तेमाल करने के लिए उन्हें अपडेट करें. ज़्यादा जानकारी के लिए, देखें:

SSL_TERMINATION मोड का इस्तेमाल करते समय एसएसओ (SSO_TOMCAT_PROXY_PORT) सेट करना

आपके पास Edge एसएसओ (SSO) मॉड्यूल के सामने एक लोड बैलेंसर हो सकता है. यह लोड बैलेंसर पर TLS को खत्म कर देता है. साथ ही, लोड बैलेंसर और Edge एसएसओ (SSO) के बीच TLS को चालू कर देता है. ऊपर दी गई इमेज में, SSL_PROXY मोड के लिए, इसका मतलब है कि लोड बैलेंसर से Edge एसएसओ (SSO) का कनेक्शन, TLS का इस्तेमाल करता है.

इस स्थिति में, आपको Edge एसएसओ (SSO) पर TLS को उसी तरह कॉन्फ़िगर करना होगा जैसा आपने ऊपर SSL_TERMINATION मोड के लिए किया था. हालांकि, अगर लोड बैलेंसर, TLS के लिए इस्तेमाल किए जाने वाले Edge एसएसओ से अलग TLS पोर्ट नंबर का इस्तेमाल करता है, तो आपको कॉन्फ़िगरेशन फ़ाइल में SSO_TOMCAT_PROXY_PORT प्रॉपर्टी की जानकारी भी देनी होगी. उदाहरण के लिए:

  • लोड बैलेंसर, पोर्ट 443 पर TLS को खत्म कर देता है
  • Edge एसएसओ (SSO) पोर्ट 9443 पर TLS को खत्म कर देता है

कॉन्फ़िगरेशन फ़ाइल में, नीचे दी गई सेटिंग शामिल करना न भूलें:

# TLS को खत्म करने के लिए, लोड बैलेंसर पर पोर्ट नंबर बताएं.
# यह पोर्ट नंबर ज़रूरी हैयह apigee-sso से geरीडायरेक्ट किए जाने वाले यूआरएल के लिए ज़रूरी है.
SSO_TOMCAT_PROXY_port=443
SSO_PUBLIC_URL_port=443

पोर्ट 443 पर एचटीटीपीएस अनुरोध करने के लिए, IDP और Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करें.