Edge for Private Cloud v. 4.17.09
安装和配置 Edge SSO 介绍了如何安装和配置 Edge SSO 模块以在端口 9099(由配置文件中的以下属性指定)上使用 HTTP:
SSO_TOMCAT_PROFILE=DEFAULT
或者,您也可以将 SSO_TOMCAT_PROFILE 设置为以下值之一,以启用 HTTPS 访问:
- SSL_PROXY - 在代理模式下配置 apigee-sso,这意味着您已在 apigee-sso 之前安装负载平衡器,并在负载平衡器上终止 TLS。然后,为来自负载平衡器的请求指定在 apigee-sso 上使用的端口。
- SSL_TERMINATION - 在所选端口上启用了对 apigee-sso(Edge SSO 模块)的 TLS 访问。您必须为此模式指定一个密钥库,其中包含由 CA 签名的证书。您不能使用自签名证书。
您可以选择在首次安装和配置 apigee-sso 时启用 HTTPS,也可以稍后启用。
使用任一模式启用对 apigee-sso 的 HTTPS 访问都会停用 HTTP 访问。也就是说,您不能同时使用 HTTP 和 HTTPS 来访问 apigee-sso。
启用 SSL_PROXY 模式
在 SSL_PROXY 模式下,您的系统在 Edge SSO 模块前面使用一个负载平衡器,终止该负载平衡器上的 TLS。在下图中,负载平衡器在端口 443 上终止 TLS,然后将请求转发到端口 9099 上的 Edge SSO 模块:
在此配置中,您信任从负载平衡器到 Edge SSO 模块的连接,因此无需使用 TLS 进行该连接。但是,外部实体(如 SAML IDP)现在必须通过端口 443(而不是不受保护的端口 9099)访问 Edge SSO 模块。
在 SSL_PROXY 模式下配置 Edge SSO 模块的原因是 Edge SSO 模块会自动生成 IDP 在身份验证过程中在外部使用的重定向网址。 因此,这些重定向网址必须包含负载平衡器上的外部端口号(在本示例中为 443),而不是 Edge SSO 模块上的内部端口 9099。
注意:您无需为 SSL_PROXY 模式创建 TLS 证书和密钥,因为从负载平衡器到边缘 SSO 模块的连接使用的是 HTTP。
要为 SSL_PROXY 模式配置 Edge SSO 模块,请执行以下操作:
- 将以下设置添加到您的配置文件中:
# 启用 SSL_PROXY 模式。
SSO_TOMCAT_PROFILE=SSL_PROXY
# 指定 apigee-sso 端口,通常介于 1025 和 65535 之间。
# 通常情况下,端口 1024 及以下端口需要 apigee-sso 的 root 访问权限。
# 默认值为 9099。
SSO_TOMCAT_PORT=9099
# 指定负载平衡器上用于终止 TLS 的端口号。
# 此端口号是 apigee-sso 自动生成重定向网址所必需的。
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_网址_PORT=443
# 将 apigee-sso 的公开访问方案设置为 https。
SSO_PUBLIC_URL_SCHEME=https - 配置 Edge SSO 模块:
> /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile - 更新您的 IDP 配置,立即在负载平衡器的端口 443 上发出 HTTPS 请求以访问 Edge SSO。如需了解详情,请参阅配置 SAML IDP。
- 通过设置以下属性,更新 HTTPS 的 Edge 界面配置:
SSO_PUBLIC_网址_PORT=443
SSO_PUBLIC_网址_SCHEME=https
如需了解详情,请参阅在 Edge 界面中启用 SAML。 - 如果您安装了开发者服务门户或 API BaaS,请更新它们以使用 HTTPS 访问 Ede SSO。如需了解详情,请参阅:
启用 SSL_TERMINATION 模式
对于 SSL_TERMINATION 模式,您必须执行以下操作:
- 生成 TLS 证书和密钥,并将它们存储在密钥库文件中。您不能使用自签名证书。您必须从 CA 生成证书。
- 更新 apigee-sso. 的配置设置。
如需根据您的证书和密钥创建密钥库文件,请执行以下操作:
- 为 JKS 文件创建一个目录:
> sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/ - 切换到新目录:
> cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/ - 创建包含证书和密钥的 JKS 文件。您必须为此模式指定一个密钥库,其中包含由 CA 签名的证书。您不能使用自签名证书。如需查看创建 JKS 文件的示例,请参阅为边缘本地配置 TLS/SSL。
- 使“apigee”用户拥有的 JKS 文件:
> sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl
要配置 Edge SSO 模块,请执行以下操作:
- 将以下设置添加到您的配置文件中:
# 启用 SSL_TERMINATION 模式。
SSO_TOMCAT_PROFILE=SSL_TERMINATION
# 指定密钥库文件的路径。
SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
SSO_TOMCAT_KEYSTORE_ALIAS=sso
# 创建密钥库时指定的密码。
SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword
# 指定介于 1025 到 65535 之间的 HTTPS 端口号。
# 通常情况下,端口 1024 及以下端口需要 apigee-sso 的 root 访问权限。
# 默认值为 9099。
SSO_TOMCAT_PORT=9443
SSO_PUBLIC_网址_PORT=9443
# 将 apigee-sso 的公开访问方案设置为 https。
SSO_PUBLIC_URL_SCHEME=https - 配置 Edge SSO 模块:
> /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile - 更新您的 IDP 配置,立即在负载平衡器的端口 9443 上发出 HTTPS 请求以访问 Edge SSO。如需了解详情,请参阅配置 SAML IDP。
- 通过设置以下属性来更新 HTTPS 的 Edge 界面配置:
SSO_PUBLIC_网址_PORT=9443
SSO_PUBLIC_网址_SCHEME=https
如需了解详情,请参阅在 Edge 界面中启用 SAML。 - 如果您安装了开发者服务门户或 API BaaS,请更新它们以使用 HTTPS 访问 Ede SSO。如需了解详情,请参阅:
使用 SSL_TERMINATION 模式时设置 SSO_TOMCAT_PROXY_PORT
您可能在 Edge SSO 模块的前面有一个负载平衡器,它终止负载平衡器上的 TLS,同时在负载平衡器和 Edge SSO 之间启用 TLS。在上图中,对于 SSL_PROXY 模式,这意味着从负载平衡器到 Edge SSO 的连接使用 TLS。
在这种情况下,您可以像上文中为 SSL_TERMINATION 模式配置 TLS 一样为 Edge SSO 配置 TLS。但是,如果负载平衡器使用的 TLS 端口号与 Edge SSO 用于 TLS 的端口号不同,则您还必须在配置文件中指定 SSO_TOMCAT_PROXY_PORT 属性。例如:
- 负载平衡器在端口 443 上终止 TLS
- 边缘 SSO 终止端口 9443 上的 TLS
请确保在配置文件中添加以下设置:
# 指定负载平衡器上用于终止 TLS 的端口号。
# 此端口号对于 apigee-sso 是必需的,才能生成重定向网址。
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_网址_PORT=443
配置 IDP 和 Edge 界面,以在端口 443 上发出 HTTPS 请求。