กําหนดค่า apigee-sso สําหรับการเข้าถึง HTTPS

Edge for Private Cloud เวอร์ชัน 4.17.09

วิธีติดตั้งและกำหนดค่า Edge SSO เพื่อติดตั้งและกำหนดค่าโมดูล EDGE SSO เพื่อใช้ HTTP บนพอร์ต 9099 ตามที่ระบุไว้โดย พร็อพเพอร์ตี้ต่อไปนี้ในไฟล์การกำหนดค่า

SSO_TOMCAT_PROFILE=DEFAULT

หรือจะตั้งค่า SSO_TOMCAT_PROFILE เป็นอย่างใดอย่างหนึ่งต่อไปนี้ก็ได้ ค่าเพื่อเปิดใช้การเข้าถึง HTTPS ได้แก่

  • SSL_PROXY - กำหนดค่า apigee-sso ในโหมดพร็อกซี ซึ่งหมายความว่าคุณมี ติดตั้งตัวจัดสรรภาระงานที่ด้านหน้า apigee-sso และสิ้นสุด TLS ในการโหลด บาลานเซอร์ แล้วระบุพอร์ตที่ใช้ใน apigee-sso สำหรับคำขอจากการโหลด บาลานเซอร์
  • SSL_TERMINATION - เปิดใช้การเข้าถึง TLS สำหรับ apigee-sso ซึ่งเป็นโมดูล SSO ของ Edge ใน พอร์ตที่คุณต้องการได้ คุณต้องระบุคีย์สโตร์สำหรับโหมดนี้ซึ่งมีใบรับรองที่ลงชื่อโดย CA คุณจะใช้ใบรับรองที่ลงนามด้วยตนเองไม่ได้

คุณเลือกเปิดใช้ HTTPS ได้ตั้งแต่ตอนติดตั้งและกำหนดค่า apigee-sso เป็นครั้งแรก หรือจะเปิดใช้ภายหลังก็ได้

การเปิดใช้การเข้าถึง HTTPS ใน apigee-sso โดยใช้โหมดใดโหมดหนึ่งจะเป็นการปิดใช้ HTTP สิทธิ์การเข้าถึง นั่นคือ คุณจะเข้าถึง apigee-sso โดยใช้ทั้ง HTTP และ HTTPS ไม่ได้ พร้อมกัน

เปิดใช้งานโหมด SSL_PROXY

ในโหมด SSL_PROXY ระบบของคุณ ใช้ตัวจัดสรรภาระงานที่ด้านหน้าของโมดูล EDGE SSO และสิ้นสุด TLS บนตัวจัดสรรภาระงาน ใน ในรูปต่อไปนี้ ตัวจัดสรรภาระงานจะยุติ TLS บนพอร์ต 443 จากนั้นจึงส่งต่อคำขอไปยัง โมดูล EDGE SSO ในพอร์ต 9099 มีดังนี้

ในการกำหนดค่านี้ คุณเชื่อถือการเชื่อมต่อจากตัวจัดสรรภาระงานไปยังโมดูล SSO ของ Edge คุณจึงไม่จำเป็นต้องใช้ TLS สำหรับการเชื่อมต่อนั้น แต่เอนทิตีภายนอก เช่น SAML ในตอนนี้ IDP จะต้องเข้าถึงโมดูล Edge SSO บนพอร์ต 443 ไม่ใช่ในพอร์ต 9099 ที่ไม่มีการป้องกัน

เหตุผลที่ต้องกำหนดค่าโมดูล Edge SSO ในโหมด SSL_PROXY คือโมดูล SSO ของ Edge จะสร้าง URL เปลี่ยนเส้นทางอัตโนมัติที่ IdP ใช้ภายนอกเป็นส่วนหนึ่งของกระบวนการตรวจสอบสิทธิ์ ดังนั้น URL การเปลี่ยนเส้นทางเหล่านี้ต้องมีหมายเลขพอร์ตภายนอกบนตัวจัดสรรภาระงาน ซึ่งก็คือ 443 นิ้ว ตัวอย่างนี้ ไม่ใช่พอร์ตภายในของโมดูล EDGE SSO 9099

หมายเหตุ: คุณไม่ต้องสร้างใบรับรอง TLS และคีย์สำหรับโหมด SSL_PROXY เนื่องจากการเชื่อมต่อจาก ตัวจัดสรรภาระงานไปยังโมดูล SSO ของ Edge จะใช้ HTTP

วิธีกำหนดค่าโมดูล SSO ของ Edge สำหรับโหมด SSL_PROXY

  1. เพิ่มการตั้งค่าต่อไปนี้ในไฟล์การกำหนดค่า
    # เปิดใช้งานโหมด SSL_PROXY
    SSO_TOMCAT_PROFILE=SSL_PROXY

    # ระบุพอร์ต apigee-sso ซึ่งโดยปกติจะอยู่ระหว่าง 1025 ถึง 65535
    # โดยทั่วไปแล้วพอร์ต 1024 หรือต่ำกว่าต้องใช้การเข้าถึงระดับรูทโดย apigee-sso
    # ค่าเริ่มต้นคือ 9099
    SSO_TOMCAT_PORT=9099

    # ระบุหมายเลขพอร์ตบนตัวจัดสรรภาระงานเพื่อยุติ TLS
    # หมายเลขพอร์ตนี้จำเป็นสำหรับ apigee-sso เพื่อสร้าง URL การเปลี่ยนเส้นทางโดยอัตโนมัติ
    SSO_TOMCAT_PROXY_PORT=443
    SSO_PUBLIC_URL_PORT=443

    # ตั้งค่ารูปแบบการเข้าถึงสาธารณะของ apigee-sso เป็น https
    SSO_PUBLIC_URL_SCHEME=https
  2. กำหนดค่าโมดูล EDGE SSO โดยทำดังนี้
    > /opt/apigee/apigee-service/bin/apigee-service apigee-sso การตั้งค่า -f configFile
  3. อัปเดตการกำหนดค่า IDP เพื่อส่งคำขอ HTTPS ในพอร์ต 443 ของการโหลด สำหรับการเข้าถึง EDGE SSO ดูกำหนดค่า SAML ของคุณ IDP สำหรับข้อมูลเพิ่มเติม
  4. อัปเดตการกำหนดค่า Edge UI สำหรับ HTTPS โดยการตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้
    SSO_PUBLIC_URL_PORT=443
    SSO_PUBLIC_URL_SCHEME=https

    โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเปิดใช้ SAML ใน Edge UI
  5. หากคุณติดตั้งพอร์ทัลบริการสำหรับนักพัฒนาซอฟต์แวร์หรือ API BaaS ให้อัปเดตพอร์ทัลเพื่อใช้ HTTPS เพื่อ เข้าถึง Ede SSO ดูข้อมูลเพิ่มเติมได้จากหัวข้อต่อไปนี้

เปิดใช้งานโหมด SSL_TERMINATION

สำหรับโหมด SSL_TERMINATION คุณ ต้อง

  • สร้างใบรับรอง TLS และคีย์แล้วเก็บไว้ในไฟล์คีย์สโตร์ คุณไม่สามารถใช้ ใบรับรองที่ลงนามด้วยตนเอง คุณต้องสร้างใบรับรองจาก CA
  • อัปเดตการตั้งค่าการกำหนดค่าสำหรับ apigee-sso

หากต้องการสร้างไฟล์คีย์สโตร์จากใบรับรองและคีย์ของคุณ ให้ทำดังนี้

  1. สร้างไดเรกทอรีสำหรับไฟล์ JKS ด้วยคำสั่งต่อไปนี้
    > ซูโด Mkdir -P /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  2. เปลี่ยนเป็นไดเรกทอรีใหม่:
    > cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  3. สร้างไฟล์ JKS ที่มีใบรับรองและคีย์ คุณต้องระบุคีย์สโตร์สำหรับโหมดนี้ ที่มีใบรับรองที่ลงชื่อโดย CA คุณจะใช้ใบรับรองที่ลงนามด้วยตนเองไม่ได้ ตัวอย่างเช่น การสร้างไฟล์ JKS โปรดดูการกำหนดค่า TLS/SSL สำหรับ Edge On สถานที่
  4. ทำให้ไฟล์ JKS เป็นของ "apigee" ผู้ใช้:
    > sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

วิธีกำหนดค่าโมดูล EDGE SSO มีดังนี้

  1. เพิ่มการตั้งค่าต่อไปนี้ในไฟล์การกำหนดค่า
    # เปิดใช้งานโหมด SSL_TERMINATION
    SSO_TOMCAT_PROFILE=SSL_TERMINATION

    # ระบุเส้นทางไปยังไฟล์คีย์สโตร์
    SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
    SSO_TOMCAT_KEYSTORE_ALIAS=sso

    # รหัสผ่านที่ระบุเมื่อคุณสร้างคีย์สโตร์
    SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

    # ระบุหมายเลขพอร์ต HTTPS ระหว่าง 1025 ถึง 65535
    # โดยทั่วไปแล้วพอร์ต 1024 หรือต่ำกว่าต้องใช้การเข้าถึงระดับรูทโดย apigee-sso
    # ค่าเริ่มต้นคือ 9099
    SSO_TOMCAT_PORT=9443
    SSO_PUBLIC_URL_PORT=9443

    # ตั้งค่ารูปแบบการเข้าถึงสาธารณะของ apigee-sso เป็น https
    SSO_PUBLIC_URL_SCHEME=https
  2. กำหนดค่าโมดูล EDGE SSO โดยทำดังนี้
    > /opt/apigee/apigee-service/bin/apigee-service apigee-sso การตั้งค่า -f configFile
  3. อัปเดตการกำหนดค่า IDP เพื่อส่งคำขอ HTTPS ในพอร์ต 9443 ของการโหลด สำหรับการเข้าถึง EDGE SSO ดูกำหนดค่า SAML ของคุณ IDP สำหรับข้อมูลเพิ่มเติม
  4. อัปเดตการกำหนดค่า Edge UI สำหรับ HTTPS โดยการตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้
    SSO_PUBLIC_URL_PORT=9443
    SSO_PUBLIC_URL_SCHEME=https

    โปรดดูข้อมูลเพิ่มเติมที่หัวข้อเปิดใช้ SAML ใน Edge UI
  5. หากคุณติดตั้งพอร์ทัลบริการสำหรับนักพัฒนาซอฟต์แวร์หรือ API BaaS ให้อัปเดตพอร์ทัลเพื่อใช้ HTTPS เพื่อ เข้าถึง Ede SSO ดูข้อมูลเพิ่มเติมได้จากหัวข้อต่อไปนี้

การตั้งค่า SSO_TOMCAT_PROXY_PORT เมื่อใช้โหมด SSL_TERMINATION

คุณอาจมีตัวจัดสรรภาระงานอยู่หน้าโมดูล EDGE SSO ที่สิ้นสุด TLS ในการโหลด ของตัวจัดสรรภาระงานแต่เปิดใช้ TLS ระหว่างตัวจัดสรรภาระงานและ Edge SSO ด้วย ในรูปด้านบน สำหรับโหมด SSL_PROXY หมายความว่าการเชื่อมต่อจากตัวจัดสรรภาระงานไปยัง Edge SSO ใช้ TLS

ในสถานการณ์นี้ คุณจะกำหนดค่า TLS ใน Edge SSO ได้เช่นเดียวกับที่ตั้งค่าด้านบนสำหรับโหมด SSL_TERMINATION แต่หากการโหลด ตัวจัดสรรภาระงานใช้หมายเลขพอร์ต TLS ที่แตกต่างจาก Edge SSO ใช้สำหรับ TLS คุณจึงต้องระบุด้วย SSO_TOMCAT_PROXY_PORT ในไฟล์การกำหนดค่า เช่น

  • ตัวจัดสรรภาระงานจะสิ้นสุด TLS บนพอร์ต 443
  • Edge SSO สิ้นสุด TLS บนพอร์ต 9443

ตรวจสอบว่าได้รวมการตั้งค่าต่อไปนี้ไว้ในไฟล์การกำหนดค่า

# ระบุพอร์ต บนตัวจัดสรรภาระงานสำหรับการสิ้นสุด TLS
# หมายเลขพอร์ตนี้คือ Necessary สำหรับ apigee-sso ไปยัง generate เปลี่ยนเส้นทาง URL
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

กำหนดค่า IDP และ Edge UI เพื่อส่งคำขอ HTTPS บนพอร์ต 443