กําหนดค่า apigee-sso สําหรับการเข้าถึง HTTPS

Edge สำหรับ Private Cloud เวอร์ชัน 4.17.09

ติดตั้งและกำหนดค่า Edge SSO อธิบายวิธีติดตั้งและกำหนดค่าโมดูล Edge SSO เพื่อใช้ HTTP บนพอร์ต 9099 ตามที่พร็อพเพอร์ตี้ต่อไปนี้ระบุไว้ในไฟล์การกำหนดค่า

SSO_TOMCAT_PROFILE=DEFAULT

หรือจะตั้งค่า SSO_TOMCAT_PROFILE เป็นค่าใดค่าหนึ่งต่อไปนี้เพื่อเปิดใช้การเข้าถึง HTTPS ก็ได้

  • SSL_PROXY - กำหนดค่า apigee-sso ในโหมดพร็อกซี ซึ่งหมายความว่าคุณได้ติดตั้งตัวจัดสรรภาระงานด้านหน้า apigee-sso และสิ้นสุด TLS บนตัวจัดสรรภาระงาน จากนั้นคุณระบุพอร์ตที่ใช้ใน apigee-sso สำหรับคำขอจากตัวจัดสรรภาระงาน
  • SSL_TERMINATION - เปิดใช้การเข้าถึง TLS สำหรับ apigee-sso ซึ่งเป็นโมดูล Edge SSO บนพอร์ตที่คุณต้องการแล้ว คุณต้องระบุคีย์สโตร์สำหรับโหมดนี้ที่มีใบรับรองที่ลงชื่อโดย CA คุณใช้ใบรับรองที่ลงนามด้วยตนเองไม่ได้

คุณเลือกที่จะเปิดใช้ HTTPS ได้ในครั้งแรกที่คุณติดตั้งและกำหนดค่า apigee-sso หรือคุณจะเปิดใช้ในภายหลังก็ได้

การเปิดใช้การเข้าถึง HTTPS ไปยัง apigee-sso โดยใช้โหมดใดโหมดหนึ่งจะปิดการเข้าถึง HTTP กล่าวคือ คุณเข้าถึง apigee-sso โดยใช้ทั้ง HTTP และ HTTPS พร้อมกันไม่ได้

เปิดใช้งานโหมด SSL_PROXY

ในโหมด SSL_PROXY ระบบของคุณจะใช้ตัวจัดสรรภาระงานด้านหน้าโมดูล Edge SSO และสิ้นสุด TLS บนตัวจัดสรรภาระงาน ในรูปต่อไปนี้ ตัวจัดสรรภาระงานจะยุติ TLS บนพอร์ต 443 แล้วส่งต่อคำขอไปยังโมดูล Edge SSO ในพอร์ต 9099

ในการกำหนดค่านี้ คุณเชื่อถือการเชื่อมต่อจากตัวจัดสรรภาระงานไปยังโมดูล Edge SSO ได้ จึงไม่จำเป็นต้องใช้ TLS สำหรับการเชื่อมต่อดังกล่าว แต่ขณะนี้เอนทิตีภายนอก เช่น SAML IdP จะต้องเข้าถึงโมดูล Edge SSO ในพอร์ต 443 ไม่ใช่ในพอร์ตที่ไม่มีการป้องกันของ 9099

เหตุผลในการกำหนดค่าโมดูล Edge SSO ในโหมด SSL_PROXY คือ โมดูล Edge SSO จะสร้าง URL เปลี่ยนเส้นทางที่ IdP นำมาใช้ภายนอกโดยอัตโนมัติ ซึ่งเป็นส่วนหนึ่งของกระบวนการตรวจสอบสิทธิ์ ดังนั้น URL เปลี่ยนเส้นทางเหล่านี้ต้องมีหมายเลขพอร์ตภายนอกบนตัวจัดสรรภาระงาน ซึ่งก็คือ 443 ในตัวอย่างนี้ ไม่ใช่พอร์ตภายในที่โมดูล Edge SSO คือ 9099

หมายเหตุ: คุณไม่จำเป็นต้องสร้างคีย์และใบรับรอง TLS สำหรับโหมด SSL_PROXY เนื่องจากการเชื่อมต่อจากตัวจัดสรรภาระงานไปยังโมดูล Edge SSO ใช้ HTTP

วิธีกำหนดค่าโมดูล Edge SSO สำหรับโหมด SSL_PROXY

  1. เพิ่มการตั้งค่าต่อไปนี้ลงในไฟล์การกำหนดค่า
    # เปิดใช้โหมด SSL_PROXY
    SSO_TOMCAT_PROFILE=SSL_PROXY

    # ระบุพอร์ต apigee-sso ซึ่งโดยปกติจะอยู่ระหว่าง 1025 ถึง 65535
    # โดยปกติแล้วพอร์ต 1024 หรือต่ำกว่าต้องมีการเข้าถึงระดับรูทโดย apigee-sso
    # ค่าเริ่มต้นคือ 9099
    SSO_TOMCAT_PORT=9099

    # ระบุหมายเลขพอร์ตบนตัวจัดสรรภาระงานในการสิ้นสุด TLS
    # หมายเลขพอร์ตนี้จำเป็นสำหรับ apigee-sso ในการสร้าง URL การเปลี่ยนเส้นทางโดยอัตโนมัติ
    SSO_TOMCAT_PROXY_PORT=443
    SSO_PUBLIC_URL_PORT=443

    # ตั้งค่ารูปแบบการเข้าถึงแบบสาธารณะของ apigee-sso เป็น https
    SSO_PUBLIC_URL_SCHEME=https
  2. กำหนดค่าโมดูล Edge SSO ดังนี้
    > /opt/apigee/apigee-service/bin/apigee-service apigee-sso Setup -f configFile
  3. อัปเดตการกำหนดค่า IDP ให้ส่งคำขอ HTTPS บนพอร์ต 443 ของตัวจัดสรรภาระงานเพื่อเข้าถึง Edge SSO ได้ทันที โปรดดูกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML สำหรับข้อมูลเพิ่มเติม
  4. อัปเดตการกำหนดค่า Edge UI สำหรับ HTTPS โดยตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้
    SSO_PUBLIC_URL_PORT=443
    SSO_PUBLIC_URL_SCHEME=https

    โปรดดูข้อมูลเพิ่มเติมที่เปิดใช้ SAML ใน Edge UI
  5. หากคุณติดตั้งพอร์ทัลบริการสำหรับนักพัฒนาแอปหรือ API BaaS โปรดอัปเดตให้ใช้ HTTPS เพื่อเข้าถึง SSO ของ Ede ดูข้อมูลเพิ่มเติมได้จากหัวข้อต่อไปนี้

เปิดใช้งานโหมด SSL_TERMINATION

สำหรับโหมด SSL_TERMINATION คุณต้องทำดังนี้

  • สร้างใบรับรองและคีย์ TLS แล้วเก็บไว้ในไฟล์คีย์สโตร์ คุณจะใช้ใบรับรองแบบ Self-signed ไม่ได้ คุณต้องสร้างใบรับรองจาก CA
  • อัปเดตการตั้งค่าการกำหนดค่าสำหรับ apigee-sso.

วิธีสร้างไฟล์คีย์สโตร์จากใบรับรองและคีย์

  1. สร้างไดเรกทอรีสำหรับไฟล์ JKS โดยทำดังนี้
    > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  2. เปลี่ยนเป็นไดเรกทอรีใหม่ดังนี้
    > cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  3. สร้างไฟล์ JKS ที่มีใบรับรองและคีย์ คุณต้องระบุคีย์สโตร์สำหรับโหมดนี้ที่มีใบรับรองที่ลงชื่อโดย CA คุณใช้ใบรับรองที่ลงนามด้วยตนเองไม่ได้ สำหรับตัวอย่างการสร้างไฟล์ JKS โปรดดูการกำหนดค่า TLS/SSL สำหรับ Edge ภายในองค์กร
  4. ทำให้ไฟล์ JKS เป็นของผู้ใช้ "apigee" ดังต่อไปนี้
    > sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

วิธีกำหนดค่าโมดูล Edge SSO

  1. เพิ่มการตั้งค่าต่อไปนี้ลงในไฟล์การกำหนดค่า
    # เปิดใช้โหมด SSL_TERMINATION
    SSO_TOMCAT_PROFILE=SSL_TERMINATION

    # ระบุเส้นทางไปยังไฟล์คีย์สโตร์
    SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
    SSO_TOMCAT_KEYSTORE_ALIAS=sso

    # รหัสผ่านที่ระบุเมื่อคุณสร้างคีย์สโตร์
    SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

    # ระบุหมายเลขพอร์ต HTTPS ตั้งแต่ 1025 ถึง 65535
    # โดยปกติแล้วพอร์ต 1024 หรือต่ำกว่าต้องมีการเข้าถึงระดับรูทโดย apigee-sso
    # ค่าเริ่มต้นคือ 9099
    SSO_TOMCAT_PORT=9443
    SSO_PUBLIC_URL_PORT=9443

    # ตั้งค่ารูปแบบการเข้าถึงแบบสาธารณะของ apigee-sso เป็น https
    SSO_PUBLIC_URL_SCHEME=https
  2. กำหนดค่าโมดูล Edge SSO ดังนี้
    > /opt/apigee/apigee-service/bin/apigee-service apigee-sso Setup -f configFile
  3. อัปเดตการกำหนดค่า IDP ให้ส่งคำขอ HTTPS บนพอร์ต 9443 ของตัวจัดสรรภาระงานเพื่อเข้าถึง Edge SSO ได้ทันที โปรดดูกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML สำหรับข้อมูลเพิ่มเติม
  4. อัปเดตการกำหนดค่า Edge UI สำหรับ HTTPS โดยตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้
    SSO_PUBLIC_URL_PORT=9443
    SSO_PUBLIC_URL_SCHEME=https

    โปรดดูข้อมูลเพิ่มเติมในเปิดใช้ SAML ใน Edge UI
  5. หากคุณติดตั้งพอร์ทัลบริการสำหรับนักพัฒนาแอปหรือ API BaaS โปรดอัปเดตให้ใช้ HTTPS เพื่อเข้าถึง SSO ของ Ede ดูข้อมูลเพิ่มเติมได้จากหัวข้อต่อไปนี้

การตั้งค่า SSO_TOMCAT_PROXY_PORT เมื่อใช้โหมด SSL_TERMINATION

คุณอาจมีตัวจัดสรรภาระงานอยู่หน้าโมดูล Edge SSO ที่ยุติ TLS บนตัวจัดสรรภาระงาน แต่ให้เปิดใช้ TLS ระหว่างตัวจัดสรรภาระงานและ Edge SSO ด้วยเช่นกัน ในภาพด้านบนสำหรับโหมด SSL_PROXY จะหมายความว่าการเชื่อมต่อจากตัวจัดสรรภาระงานไปยัง Edge SSO จะใช้ TLS

ในสถานการณ์นี้ คุณจะกำหนดค่า TLS บน Edge SSO เหมือนกับที่ระบุไว้ข้างต้นสำหรับโหมด SSL_TERMINATION อย่างไรก็ตาม หากตัวจัดสรรภาระงานใช้หมายเลขพอร์ต TLS ต่างจากที่ Edge SSO ใช้สำหรับ TLS คุณจะต้องระบุพร็อพเพอร์ตี้ SSO_TOMCAT_PROXY_PORT ในไฟล์การกำหนดค่าด้วย เช่น

  • ตัวจัดสรรภาระงานสิ้นสุด TLS บนพอร์ต 443
  • Edge SSO จะยุติ TLS บนพอร์ต 9443

โปรดใส่การตั้งค่าต่อไปนี้ในไฟล์การกำหนดค่า

# ระบุหมายเลขพอร์ตบนตัวจัดสรรภาระงานในการสิ้นสุด TLS
# หมายเลขพอร์ตนี้ จำเป็น ที่ apigee-sso จะลบ URL เปลี่ยนเส้นทาง
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

กำหนดค่า UI และ Edge UI ให้ส่งคำขอ HTTPS ในพอร์ต 443