Edge per Private Cloud v. 4.17.09
Installa e configura SSO Edge descrive come installare e configurare il modulo SSO perimetrale per l'utilizzo di HTTP sulla porta 9099, come specificato dalla seguente proprietà nel file di configurazione:
SSO_TOMCAT_PROFILE=DEFAULT
In alternativa, puoi impostare SSO_TOMCAT_PROFILE su uno dei seguenti valori per abilitare l'accesso HTTPS:
- SSL_PROXY: configura apigee-sso in modalità proxy, il che significa che hai installato un bilanciatore del carico davanti ad apigee-sso e ha terminato TLS sul bilanciatore del carico. Devi quindi specificare la porta utilizzata su apigee-sso per le richieste dal bilanciatore del carico.
- SSL_TERMINATION: è stato abilitato l'accesso TLS ad apigee-sso, il modulo SSO Edge, sulla porta che preferisci. Devi specificare un archivio chiavi per questa modalità che contenga un certificato firmato da una CA. Non puoi utilizzare un certificato autofirmato.
Puoi scegliere di abilitare HTTPS nel momento in cui inizialmente installi e configuri apigee-sso oppure puoi abilitarlo in un secondo momento.
Se abiliti l'accesso HTTPS ad apigee-sso, utilizzando una delle due modalità viene disabilitato l'accesso HTTP. Ciò significa che non puoi accedere ad apigee-sso utilizzando contemporaneamente HTTP e HTTPS.
Attiva la modalità SSL_PROXY
In modalità SSL_PROXY, il sistema utilizza un bilanciatore del carico davanti al modulo SSO perimetrale e termina TLS sul bilanciatore del carico. Nella figura seguente, il bilanciatore del carico termina TLS sulla porta 443, quindi inoltra le richieste al modulo SSO perimetrale sulla porta 9099:
In questa configurazione, la connessione dal bilanciatore del carico al modulo SSO perimetrale è affidabile, perciò non è necessario utilizzare TLS per la connessione. Tuttavia, le entità esterne, come l'IdP SAML, devono ora accedere al modulo Edge SSO sulla porta 443, non sulla porta non protetta 9099.
Il motivo per configurare il modulo Edge SSO in modalità SSL_PROXY è che il modulo Edge SSO genera automaticamente gli URL di reindirizzamento utilizzati esternamente dall'IdP come parte del processo di autenticazione. Pertanto, questi URL di reindirizzamento devono contenere il numero di porta esterna sul bilanciatore del carico, 443 in questo esempio, e non la porta interna sul modulo SSO perimetrale 9099.
Nota: non è necessario creare un certificato e una chiave TLS per la modalità SSL_PROXY perché la connessione dal bilanciatore del carico al modulo SSO perimetrale utilizza HTTP.
Per configurare il modulo Edge SSO per la modalità SSL_PROXY:
- Aggiungi le seguenti impostazioni al file di configurazione:
# Abilita la modalità SSL_PROXY.
SSO_TOMCAT_PROFILE=SSL_PROXY
# Specifica la porta apigee-sso, in genere compresa tra 1025 e 65535.
# In genere le porte 1024 e successive richiedono l'accesso root da apigee-sso.
# Il valore predefinito è 9099.
SSO_TOMCAT_PORT=9099
# Specifica il numero di porta sul bilanciatore del carico per terminare la connessione TLS.
# Questo numero di porta è necessario affinché apigee-sso generi automaticamente gli URL di reindirizzamento.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443
# Imposta lo schema di accesso pubblico di apigee-sso su https.
SSO_PUBLIC_URL_SCHEME=https - Configura il modulo SSO Edge:
> /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile - Aggiorna la configurazione IdP per effettuare una richiesta HTTPS sulla porta 443 del bilanciatore del carico per accedere al servizio SSO perimetrale. Per saperne di più, consulta Configurare l'IdP SAML.
- Aggiorna la configurazione della UI perimetrale per HTTPS impostando le seguenti proprietà:
SSO_PUBLIC_URL_PORT=443
SSO_PUBLIC_URL_SCHEME=https
Per ulteriori informazioni, vedi Attivare SAML nell'interfaccia utente perimetrale. - Se hai installato il portale Servizi per gli sviluppatori o l'API BaaS, aggiornali in modo che utilizzino HTTPS per accedere all'SSO Ede. Per saperne di più, consulta:
Abilita la modalità SSL_TERMINATION
Per la modalità SSL_TERMINATION, devi:
- Sono stati generati un certificato e una chiave TLS e li archivi in un file archivio chiavi. Non puoi utilizzare un certificato autofirmato. devi generare un certificato da una CA.
- Aggiorna le impostazioni di configurazione per apigee-sso.
Per creare un file di archivio chiavi a partire dal certificato e dalla chiave:
- Crea una directory per il file JKS:
> sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/ - Passa alla nuova directory:
> cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/ - Crea un file JKS contenente il certificato e la chiave. Devi specificare un archivio chiavi per questa modalità che contenga un certificato firmato da una CA. Non puoi utilizzare un certificato autofirmato. Per un esempio di creazione di un file JKS, consulta Configurazione di TLS/SSL per Edge On Premises.
- Rendi il file JKS di proprietà dell'utente "apigee":
> sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl
Per configurare il modulo SSO perimetrale:
- Aggiungi le seguenti impostazioni al file di configurazione:
# Abilita la modalità SSL_TERMINATION.
SSO_TOMCAT_PROFILE=SSL_TERMINATION
# Specifica il percorso del file dell'archivio chiavi.
SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
SSO_TOMCAT_KEYSTORE_ALIAS=sso
# La password specificata al momento della creazione dell'archivio chiavi.
SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword
# Specifica il numero di porta HTTPS compreso tra 1025 e 65535.
# In genere le porte 1024 e successive richiedono l'accesso root da apigee-sso.
# Il valore predefinito è 9099.
SSO_TOMCAT_PORT=9443
SSO_PUBLIC_URL_PORT=9443
# Imposta lo schema di accesso pubblico di apigee-sso su https.
SSO_PUBLIC_URL_SCHEME=https - Configura il modulo SSO Edge:
> /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile - Aggiorna la configurazione IdP per effettuare una richiesta HTTPS sulla porta 9443 del bilanciatore del carico per accedere al servizio SSO perimetrale. Per saperne di più, consulta Configurare l'IdP SAML.
- Aggiorna la configurazione della UI perimetrale per HTTPS impostando le seguenti proprietà:
SSO_PUBLIC_URL_PORT=9443
SSO_PUBLIC_URL_SCHEME=https
Per ulteriori informazioni, vedi Attivare SAML nell'interfaccia utente perimetrale. - Se hai installato il portale Servizi per gli sviluppatori o l'API BaaS, aggiornali in modo che utilizzino HTTPS per accedere all'SSO Ede. Per saperne di più, consulta:
Impostazione SSO_TOMCAT_PROXY_PORT quando si utilizza la modalità SSL_TERMINATION
Potresti avere un bilanciatore del carico davanti al modulo SSO perimetrale che termina TLS sul bilanciatore del carico, ma abilita anche TLS tra il bilanciatore del carico e l'SSO perimetrale. Nella figura riportata sopra per la modalità SSL_PROXY, significa che la connessione dal bilanciatore del carico all'SSO perimetrale utilizza TLS.
In questo scenario, configurerai TLS su SSO Edge come hai fatto prima per la modalità SSL_TERMINATION. Tuttavia, se il bilanciatore del carico utilizza un numero di porta TLS diverso rispetto a quello usato da SSO Edge per TLS, devi specificare anche la proprietà SSO_TOMCAT_PROXY_PORT nel file di configurazione. Ad esempio:
- Il bilanciatore del carico termina il protocollo TLS sulla porta 443
- Il servizio SSO perimetrale termina il TLS sulla porta 9443
Assicurati di includere la seguente impostazione nel file di configurazione:
# Specifica il numero di porta sul bilanciatore del carico per l'interruzione di TLS.
# Questo numero di porta è
necessario per apigee-sso
per generare gli URL di reindirizzamento.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443
Configura l'IdP e l'interfaccia utente Edge per effettuare richieste HTTPS sulla porta 443.