Mengonfigurasi apigee-sso untuk akses HTTPS

Edge untuk Private Cloud v. 4.17.09

Menginstal dan mengonfigurasi SSO Edge menjelaskan cara menginstal dan mengonfigurasi modul SSO Edge untuk menggunakan HTTP pada port 9099, seperti yang ditentukan oleh properti berikut dalam file konfigurasi:

SSO_TOMCAT_PROFILE=DEFAULT

Atau, Anda dapat menetapkan SSO_TOMCAT_PROFILE ke salah satu nilai berikut untuk mengaktifkan akses HTTPS:

• SSL_PROXY - Mengonfigurasi apigee-sso dalam mode proxy, yang berarti Anda telah menginstal load balancer di depan apigee-sso dan menghentikan TLS di load balancer. Selanjutnya, Anda menentukan port yang digunakan di apigee-sso untuk permintaan dari load balancer.
• SSL_TERMINATION - Akses TLS ke apigee-sso, modul SSO Edge, pada port pilihan Anda telah diaktifkan. Untuk mode ini, Anda harus menentukan keystore yang berisi sertifikat yang ditandatangani oleh CA. Anda tidak dapat menggunakan sertifikat yang ditandatangani sendiri.

Anda dapat memilih untuk mengaktifkan HTTPS pada saat pertama kali menginstal dan mengonfigurasi apigee-sso, atau Anda dapat mengaktifkannya nanti.

Mengaktifkan akses HTTPS ke apigee-sso menggunakan salah satu mode akan menonaktifkan akses HTTP. Artinya, Anda tidak dapat mengakses apigee-sso menggunakan HTTP dan HTTPS secara bersamaan.

Mengaktifkan mode SSL_PROXY

Dalam mode SSL_PROXY, sistem Anda menggunakan load balancer di depan modul SSO Edge dan menghentikan TLS di load balancer. Pada gambar berikut, load balancer menghentikan TLS pada port 443, lalu meneruskan permintaan ke modul SSO Edge pada port 9099:

Dalam konfigurasi ini, Anda memercayai koneksi dari load balancer ke modul SSO Edge sehingga tidak perlu menggunakan TLS untuk koneksi tersebut. Namun, entitas eksternal, seperti IDP SAML, kini harus mengakses modul SSO Edge pada port 443, bukan pada port 9099 yang tidak dilindungi.

Alasan untuk mengonfigurasi modul SSO Edge dalam mode SSL_PROXY adalah karena modul Edge SSO secara otomatis membuat URL alihan yang digunakan secara eksternal oleh IDP sebagai bagian dari proses autentikasi. Oleh karena itu, URL alihan ini harus berisi nomor port eksternal pada load balancer, 443 dalam contoh ini, dan bukan port internal pada modul SSO Edge, 9099.

Catatan: Anda tidak perlu membuat sertifikat dan kunci TLS untuk mode SSL_PROXY karena koneksi dari load balancer ke modul SSO Edge menggunakan HTTP.

Untuk mengonfigurasi modul SSO Edge untuk mode SSL_PROXY:

1. Tambahkan setelan berikut ke file konfigurasi Anda:
   # Mengaktifkan mode SSL_PROXY.
   SSO_TOMCAT_PROFILE=SSL_PROXY
   
   # Tentukan port apigee-sso, biasanya antara 1025 dan 65535.
   # Biasanya port 1024 dan yang lebih lama memerlukan akses root oleh apigee-sso.
   # Defaultnya adalah 9099.
   SSO_TOMCAT_PORT=9099
   
   # Tentukan nomor port pada load balancer untuk menghentikan TLS.
   # Nomor port ini diperlukan agar apigee-sso dapat membuat URL alihan secara otomatis.
   SSO_TOMCAT_PROXY_PORT=443
   SSO_PUBLIC_URL_PORT=443
   
   # Menetapkan skema akses publik apigee-sso ke https.
   SSO_PUBLIC_URL_SCHEME=https
2. Konfigurasikan modul SSO Edge:
   > /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
3. Perbarui konfigurasi IDP Anda agar sekarang membuat permintaan HTTPS di port 443 load balancer untuk mengakses SSO Edge. Lihat Mengonfigurasi IDP SAML untuk mengetahui informasi selengkapnya.
4. Perbarui konfigurasi UI Edge untuk HTTPS dengan menetapkan properti berikut:
   SSO_PUBLIC_URL_PORT=443
   SSO_PUBLIC_URL_SCHEME=https
   
   Lihat Mengaktifkan SAML di UI Edge untuk mengetahui informasi selengkapnya.
5. Jika Anda menginstal portal Layanan Developer atau API BaaS, update portal agar dapat menggunakan HTTPS untuk mengakses SSO Ede. Untuk mengetahui informasi selengkapnya, lihat:
   • Mengonfigurasi portal Layanan Developer untuk menggunakan SAML guna berkomunikasi dengan Edge
   • Mengaktifkan SAML untuk API BaaS

Mengaktifkan mode SSL_TERMINATION

Untuk mode SSL_TERMINATION, Anda harus:

• Membuat sertifikat dan kunci TLS dan menyimpannya dalam file keystore. Anda tidak dapat menggunakan sertifikat yang ditandatangani sendiri. Anda harus membuat sertifikat dari CA.
• Perbarui setelan konfigurasi untuk apigee-sso.

Untuk membuat file keystore dari sertifikat dan kunci Anda:

1. Buat direktori untuk file JKS:
   > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
2. Ubah ke direktori baru:
   > cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
3. Buat file JKS yang berisi sertifikat dan kunci. Anda harus menentukan keystore untuk mode ini yang berisi sertifikat yang ditandatangani oleh CA. Anda tidak dapat menggunakan sertifikat yang ditandatangani sendiri. Untuk contoh pembuatan file JKS, lihat Mengonfigurasi TLS/SSL untuk Edge On Premises.
4. Buat file JKS yang dimiliki oleh pengguna "apigee":
   > sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

Untuk mengonfigurasi modul SSO Edge:

1. Tambahkan setelan berikut ke file konfigurasi Anda:
   # Mengaktifkan mode SSL_TERMINATION.
   SSO_TOMCAT_PROFILE=SSL_TERMINATION
   
   # Menentukan jalur ke file keystore.
   SSO_TOMCAT_KEYSTORE_FILE=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
   SSO_TOMCAT_KEYSTORE_ALIAS=sso
   
   # Sandi yang ditentukan saat Anda membuat keystore.
   SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword
   
   # Tentukan nomor port HTTPS antara 1025 dan 65535.
   # Biasanya port 1024 dan yang lebih lama memerlukan akses root oleh apigee-sso.
   # Defaultnya adalah 9099.
   SSO_TOMCAT_PORT=9443
   SSO_PUBLIC_URL_PORT=9443
   
   # Tetapkan skema akses publik apigee-sso ke https.
   SSO_PUBLIC_URL_SCHEME=https
2. Konfigurasikan modul SSO Edge:
   > /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
3. Perbarui konfigurasi IDP Anda agar sekarang membuat permintaan HTTPS pada port 9443 load balancer untuk mengakses Edge SSO. Lihat Mengonfigurasi IDP SAML untuk mengetahui informasi selengkapnya.
4. Perbarui konfigurasi UI Edge untuk HTTPS dengan menetapkan properti berikut:
   SSO_PUBLIC_URL_PORT=9443
   SSO_PUBLIC_URL_SCHEME=https
   
   Lihat Mengaktifkan SAML di UI Edge untuk mengetahui informasi selengkapnya.
5. Jika Anda menginstal portal Layanan Developer atau API BaaS, update portal agar dapat menggunakan HTTPS untuk mengakses SSO Ede. Untuk mengetahui informasi selengkapnya, lihat:
   • Mengonfigurasi portal Layanan Developer untuk menggunakan SAML guna berkomunikasi dengan Edge
   • Mengaktifkan SAML untuk API BaaS

Menyetel SSO_TOMCAT_PROXY_PORT saat menggunakan mode SSL_TERMINATION

Anda mungkin memiliki load balancer di depan modul SSO Edge yang menghentikan TLS pada load balancer, tetapi juga mengaktifkan TLS antara load balancer dan SSO Edge. Pada gambar di atas untuk mode SSL_PROXY, ini berarti koneksi dari load balancer ke SSO Edge menggunakan TLS.

Dalam skenario ini, konfigurasi TLS di SSO Edge seperti yang Anda lakukan di atas untuk mode SSL_TERMINATION. Namun, jika load balancer menggunakan nomor port TLS yang berbeda dengan yang digunakan SSO Edge untuk TLS, Anda juga harus menentukan properti SSO_TOMCAT_PROXY_PORT dalam file konfigurasi. Contoh:

• Load balancer menghentikan TLS di port 443
• SSO Edge menghentikan TLS pada port 9443

Pastikan untuk menyertakan setelan berikut di file konfigurasi:

# Menentukan nomor port di load balancer untuk menghentikan TLS.
# Nomor port ini diperlukansary agar apigee-sso dapatmenyusun URL alihan.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

Konfigurasi IDP dan UI Edge untuk membuat permintaan HTTPS pada port 443.