Edge で Basic 認証を無効にする

Edge for Private Cloud v. 4.17.09

Edge で SAML を有効にしたら、Basic 認証を無効にできます。ただし、 Basic 認証を無効にする:

  • システム管理者を含むすべての Edge ユーザーが SAML に追加されていることを確認してください IdP。
  • Edge UI での SAML 認証と Edge 管理を十分にテストしていることを確認してください API
  • API BaaS も使用している場合は、API BaaS で SAML を構成してテストします。API BaaS で SAML を有効にするをご覧ください。
  • Developer Services ポータルを使用している場合は、ポータルで SAML を構成してテストし、 ポータルが Edge に接続できることを確認します。詳細については、Terraform で Developer Services ポータルで SAML を使用して Edge と通信するをご覧ください。

現在のセキュリティ プロファイルの表示

Edge のセキュリティ プロファイルを表示して現在の構成を確認し、 現在、Basic 認証と SAML が有効になっています。Edge で次の Edge Management API 呼び出しを使用する Management Server を使用して、Edge で使用されている現在のセキュリティ プロファイルを表示します。

> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

SAML をまだ構成していない場合、レスポンスは次のようになります。つまり、Basic 認証は enabled:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

すでに SAML を有効にしている場合は、出力に &lt;ssoserver&gt; タグが表示されます。

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

SAML が有効になっているバージョンには、 &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt;: Basic 認証が 引き続き有効です。

Basic 認証を無効にする

Basic を無効にするには、Edge 管理サーバーで次の Edge 管理 API 呼び出しを使用します 認証前のセクションで返された XML オブジェクトをペイロードとして渡していることに注意してください。唯一の 違いは、 &lt;BasicAuthEnabled&gt;false&lt;/BasicAuthEnabled&gt;:

> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Basic 認証を無効にした後は、Basic 認証の認証情報を渡す Edge Management API 呼び出し 次のエラーが返されます。

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Basic 認証を再度有効にする

なんらかの理由で Basic 認証を再度有効にする必要がある場合は、次の手順を行う必要があります。

注意: Basic 認証を再度有効にする一環で、一時的に無効にする必要があります。 すべての認証が Edge 上で行われます。

  1. 任意の Edge ZooKeeper ノードにログインします。
  2. 次の bash スクリプトを実行して、すべてのセキュリティをオフにします。
    注意: この手順により、SAML を含む Edge のすべての認証が無効になります。

    #!/bin/bash
    /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
    /system/securityprofile を設定して &lt;SecurityProfile&gt;&lt;/SecurityProfile&gt;
    終了

    時点
    出力は次のようになります。
    localhost:2181 に接続する
    ZooKeeper へようこそ。
    JLine サポートが有効です
    WATCHER::

    WatchedEvent の状態:SyncConnected type:None path:null
    [zk: localhost:2181(CONNECTED) 0] /system/securityprofile <SecurityProfile></SecurityProfile> を設定します
    cZxid = 0x89
    ...
    [zk: localhost:2181(CONNECTED) 1] quit
    終了しています...
  3. Basic 認証と SAML 認証を再度有効にします。

    &gt;curl -H "Content-Type: application/xml&quot;
    http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
    '<SecurityProfile enabled="true"name=&quot;securityprofile&quot;&gt;

    <ph type="x-smartling-placeholder"></ph> <UserAccessControl enabled="true">
    <ph type="x-smartling-placeholder"></ph> &lt;SSOServer&gt;
    &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt;
    <ph type="x-smartling-placeholder"></ph> &lt;PublicKeyEndPoint&gt;/token_key&lt;/PublicKeyEndPoint&gt;
    <ph type="x-smartling-placeholder"></ph> &lt;ServerUrl&gt;http://35.197.37.220:9099&lt;/ServerUrl&gt;
    <ph type="x-smartling-placeholder"></ph> &lt;/SSOServer&gt;
    </UserAccessControl>
    </SecurityProfile>

    マイページ 再び Basic 認証を使用できるようになりました。