Định cấu hình apigee-sso để truy cập HTTPS

Edge for Private Cloud phiên bản 4.17.09

Cài đặt và định cấu hình dịch vụ SSO ở Edge mô tả cách cài đặt và định cấu hình mô-đun SSO của Edge để sử dụng HTTP trên cổng 9099, như được chỉ định bởi thuộc tính sau trong tệp cấu hình:

SSO_TOMCAT_PROFILE=DEFAULT

Ngoài ra, bạn có thể đặt SSO_TOMCAT_PROFILE thành một trong các giá trị sau để bật quyền truy cập HTTPS:

• SSL_PROXY – Định cấu hình apigee-sso ở chế độ proxy, nghĩa là bạn đã cài đặt trình cân bằng tải trước apigee-sso và kết thúc TLS trên trình cân bằng tải. Sau đó, bạn sẽ chỉ định cổng dùng trên apigee-sso cho các yêu cầu từ trình cân bằng tải.
• SSL_TERMINATION – Cho phép truy cập TLS vào apigee-sso (mô-đun SSO của Edge) trên cổng mà bạn chọn. Bạn phải chỉ định một kho khoá cho chế độ này có chứa chứng chỉ do một CA ký. Bạn không thể sử dụng chứng chỉ tự ký.

Bạn có thể chọn bật HTTPS tại thời điểm cài đặt và định cấu hình apigee-sso ban đầu hoặc bạn có thể bật sau.

Việc bật quyền truy cập HTTPS vào apigee-sso bằng một trong hai chế độ sẽ tắt quyền truy cập HTTP. Điều đó có nghĩa là bạn không thể truy cập đồng thời vào apigee-sso bằng cả HTTP và HTTPS.

Bật chế độ SSL_PROXY

Ở chế độ SSL_PROXY, hệ thống của bạn sẽ sử dụng một trình cân bằng tải ở phía trước mô-đun SSO của Edge và chấm dứt TLS trên trình cân bằng tải. Trong hình sau, trình cân bằng tải chấm dứt TLS trên cổng 443, sau đó chuyển tiếp các yêu cầu đến mô-đun SSO của Edge trên cổng 9099:

Trong cấu hình này, bạn tin tưởng kết nối từ trình cân bằng tải đến mô-đun SSO của Edge nên không cần phải sử dụng TLS cho kết nối đó. Tuy nhiên, các thực thể bên ngoài (chẳng hạn như IDP SAML) nay phải truy cập vào mô-đun SSO của Edge trên cổng 443, chứ không phải trên cổng không được bảo vệ 9099.

Lý do để định cấu hình mô-đun SSO của Edge ở chế độ SSL_PROXY là vì mô-đun SSO của Edge sẽ tự động tạo các URL chuyển hướng mà IDP sử dụng bên ngoài trong quá trình xác thực. Do đó, các URL chuyển hướng này phải chứa số cổng bên ngoài trên trình cân bằng tải (443 trong ví dụ này) chứ không phải cổng nội bộ trên mô-đun SSO của Edge, 9099.

Lưu ý: Bạn không phải tạo chứng chỉ và khoá TLS cho chế độ SSL_PROXY vì kết nối từ trình cân bằng tải đến mô-đun SSO của Edge sử dụng HTTP.

Để định cấu hình mô-đun SSO của Edge cho chế độ SSL_PROXY:

1. Thêm các chế độ cài đặt sau vào tệp cấu hình:
   # Bật chế độ SSL_PROXY.
   SSO_TOMCAT_PROFILE=SSL_PROXY
   
   # Chỉ định cổng apigee-sso, thường là từ 1025 đến 65535.
   # Thông thường, các cổng 1024 trở xuống yêu cầu quyền truy cập thư mục gốc bằng apigee-sso.
   # Giá trị mặc định là 9099.
   SSO_TOMCAT_port=9099
   
   # Chỉ định số cổng trên trình cân bằng tải để chấm dứt TLS.
   # Cổng này cần thiết để apigee-sso tự động tạo URL chuyển hướng.
   SSO_TOMCAT_PROXY_Port=443
   SSO_PUBLIC_URL_Port=443
   
   # Đặt giao thức truy cập công khai của apigee-sso thành https.
   SSO_PUBLIC_URL_SCHEME=https
2. Định cấu hình mô-đun SSO của Edge:
   > /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
3. Cập nhật cấu hình IDP của bạn để thực hiện yêu cầu HTTPS trên cổng 443 của trình cân bằng tải để truy cập vào Edge SSO. Hãy xem bài viết Định cấu hình Nhà cung cấp danh tính (IDP) SAML để biết thêm thông tin.
4. Cập nhật cấu hình giao diện người dùng Edge cho HTTPS bằng cách đặt các thuộc tính sau:
   SSO_PUBLIC_URL_Port=443
   SSO_PUBLIC_URL_SCHEME=https
   
   Xem bài viết Bật SAML trên giao diện người dùng Edge để biết thêm thông tin.
5. Nếu bạn đã cài đặt cổng Dịch vụ dành cho nhà phát triển hoặc API BaaS, hãy cập nhật các cổng này để sử dụng HTTPS để truy cập vào SSO của Ede. Để biết thêm thông tin, hãy xem các bài viết:
   • Định cấu hình cổng Dịch vụ dành cho nhà phát triển để dùng SAML để giao tiếp với Edge
   • Bật SAML cho API BaaS

Bật chế độ SSL_REQUESTINATION

Đối với chế độ SSL_TERMINATION, bạn phải:

• Tạo chứng chỉ và khoá TLS rồi lưu trữ chúng trong tệp kho khoá. Bạn không thể sử dụng chứng chỉ tự ký. Bạn phải tạo chứng chỉ từ một tổ chức phát hành chứng chỉ (CA).
• Cập nhật chế độ cài đặt cấu hình cho apigee-sso.

Cách tạo tệp kho khoá từ chứng chỉ và khoá của bạn:

1. Tạo thư mục cho tệp JKS:
   > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-SSL/
2. Thay đổi sang thư mục mới:
   > cd /opt/apigee/customer/application/apigee-sso/tomcat-SSL/
3. Tạo tệp JKS chứa chứng chỉ và khoá. Đối với chế độ này, bạn phải chỉ định một kho khoá có chứa chứng chỉ do CA ký. Bạn không thể sử dụng chứng chỉ tự ký. Để xem ví dụ về cách tạo tệp JKS, hãy xem bài viết Định cấu hình TLS/SSL cho cơ sở hạ tầng riêng.
4. Đặt tệp JKS thuộc quyền sở hữu của người dùng "apigee":
   > sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-SSL

Cách định cấu hình mô-đun Đăng nhập một lần (SSO) ở Edge:

1. Thêm các chế độ cài đặt sau vào tệp cấu hình:
   # Bật chế độ SSL_termINATION.
   SSO_TOMCAT_PROFILE=SSL_termINATION
   
   # Chỉ định đường dẫn đến tệp kho khoá.
   SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-SSL/keystore.jks
   SSO_TOMCAT_KEYSTORE_ALIAS=sso
   
   # Mật khẩu được chỉ định khi bạn tạo kho khoá.
   SSO_TOMCAT_KEYSTORE_passwords=keystorePassword
   
   # Chỉ định số cổng HTTPS trong khoảng từ 1025 đến 65535.
   # Thông thường, các cổng 1024 trở xuống yêu cầu quyền truy cập thư mục gốc bằng apigee-sso.
   # Giá trị mặc định là 9099.
   SSO_TOMCAT_Port=9443
   SSO_PUBLIC_URL_Port=9443
   
   # Đặt giao thức truy cập công khai của apigee-sso thành https.
   SSO_PUBLIC_URL_SCHEME=https
2. Định cấu hình mô-đun SSO của Edge:
   > /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
3. Cập nhật cấu hình IDP của bạn để thực hiện một yêu cầu HTTPS trên cổng 9443 của trình cân bằng tải để truy cập vào Edge SSO. Hãy xem bài viết Định cấu hình Nhà cung cấp danh tính (IDP) SAML để biết thêm thông tin.
4. Cập nhật cấu hình giao diện người dùng Edge cho HTTPS bằng cách đặt các thuộc tính sau:
   SSO_PUBLIC_URL_Port=9443
   SSO_PUBLIC_URL_SCHEME=https
   
   Xem bài viết Bật SAML trên giao diện người dùng Edge để biết thêm thông tin.
5. Nếu bạn đã cài đặt cổng Dịch vụ dành cho nhà phát triển hoặc API BaaS, hãy cập nhật các cổng này để sử dụng HTTPS để truy cập vào SSO của Ede. Để biết thêm thông tin, hãy xem các bài viết:
   • Định cấu hình cổng Dịch vụ dành cho nhà phát triển để dùng SAML để giao tiếp với Edge
   • Bật SAML cho API BaaS

Đặt SSO_TOMCAT_PROXY_Port khi sử dụng chế độ SSL_termINATION

Bạn có thể đặt một trình cân bằng tải ở phía trước mô-đun SSO của Edge để chấm dứt TLS trên trình cân bằng tải nhưng cũng bật TLS giữa trình cân bằng tải và SSO của Edge. Trong hình trên dành cho chế độ SSL_PROXY, điều này có nghĩa là kết nối từ trình cân bằng tải đến dịch vụ SSO của Edge có sử dụng TLS.

Trong trường hợp này, bạn định cấu hình tính năng SSO trên Edge giống như cách bạn đã làm ở trên cho chế độ SSL_TERMINATION. Tuy nhiên, nếu trình cân bằng tải sử dụng số cổng TLS khác với số cổng mà dịch vụ SSO của Edge sử dụng cho TLS, thì bạn cũng phải chỉ định thuộc tính SSO_TOMCAT_PROXY_PORT trong tệp cấu hình. Ví dụ:

• Trình cân bằng tải kết thúc TLS trên cổng 443
• Tính năng SSO của Edge chấm dứt TLS trên cổng 9443

Nhớ thêm chế độ cài đặt sau đây vào tệp cấu hình:

# Chỉ định số cổng trên trình cân bằng tải để chấm dứt TLS.
# Số cổng này là cần thiết để apigee-sso bắt đầu tạo URL chuyển hướng.
SSO_TOMCAT_PROXY_Port=443
SSO_PUBLIC_URL_Port=443

Định cấu hình giao diện người dùng IDP và Edge để thực hiện các yêu cầu HTTPS trên cổng 443.