Wyłączanie podstawowego uwierzytelniania na urządzeniu Edge

Edge for Private Cloud w wersji 4.17.09

Po włączeniu SAML w Edge możesz wyłączyć uwierzytelnianie podstawowe. Jednak przed wyłącz uwierzytelnianie podstawowe:

• Upewnij się, że wszyscy użytkownicy Edge, w tym administratorzy systemu, zostali dodani do SAML dostawca tożsamości
• Sprawdź, czy uwierzytelnianie SAML zostało dokładnie przetestowane w interfejsie Edge i zarządzaniu urządzeniami brzegowymi API.
• Jeśli używasz też API BaaS, skonfiguruj i przetestuj SAML w API BaaS. Zobacz Włączanie SAML dla API BaaS.
• Jeśli korzystasz z portalu usług dla deweloperów, skonfiguruj i przetestuj SAML w portalu, aby sprawdź, czy portal może połączyć się z Edge. Patrz sekcja Konfigurowanie portal usług dla deweloperów, w którym można używać SAML do komunikowania się z Edge.

Wyświetlanie bieżącego profilu zabezpieczeń

Możesz wyświetlić profil zabezpieczeń Edge, aby określić bieżącą konfigurację i określić, czy Uwierzytelnianie podstawowe i SAML są obecnie włączone. Użyj tego wywołania interfejsu Edge Management API na urządzeniu Edge Serwer zarządzania pozwalający wyświetlić bieżący profil zabezpieczeń używany przez Edge:

> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Jeśli protokół SAML nie został jeszcze skonfigurowany, odpowiedź ma postać przedstawioną poniżej, co oznacza, że uwierzytelnianie podstawowe jest włączono:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Jeśli masz już włączony SAML, w danych wyjściowych zobaczysz tag <ssoserver>:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

Zwróć uwagę, że wyświetla się też wersja z włączoną obsługą SAML <BasicAuthEnabled>true</BasicAuthEnabled> oznacza, że uwierzytelnianie podstawowe to jest nadal włączona.

Wyłącz uwierzytelnianie podstawowe

Aby wyłączyć podstawowe, użyj tego wywołania interfejsu Edge Management API na serwerze zarządzania brzegiem Auth. Zwróć uwagę, że jako ładunek przekazujesz obiekt XML zwrócony w poprzedniej sekcji. Jedyna Różnica polega na tym, że ustawiasz <BasicAuthEnabled>false</BasicAuthEnabled>:

> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Po wyłączeniu uwierzytelniania podstawowego każde wywołanie interfejsu Edge Management API przekazuje dane logowania podstawowego uwierzytelniania zwraca taki błąd:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Ponownie włącz uwierzytelnianie podstawowe

Jeśli z jakiegoś powodu musisz ponownie włączyć uwierzytelnianie podstawowe, musisz wykonać te czynności:

Uwaga: podczas ponownego włączania uwierzytelniania podstawowego musisz tymczasowo wyłączyć całe uwierzytelnianie w Edge, w tym SAML.

1. Zaloguj się w dowolnym węźle Edge ZooKeeper.
2. Aby wyłączyć całe zabezpieczenia, uruchom ten skrypt bash:
   Uwaga: ten krok wyłącza całe uwierzytelnianie w Edge, w tym SAML.
   
   #! /bin/bash
   
   /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
   set /system/securityprofile &lt;SecurityProfile&gt;&lt;/SecurityProfile&gt;
   Zakończ
   Funkcja edycji:
   
   Dane wyjściowe wyświetlą się w tym formacie:
   Łączenie z localhost:2181
   Witamy w ZooKeeper!
   Włączono obsługę JLine
   OGLĄDAJ:
   
   Stan obserwowanego zdarzenia:SyncConnected type:Brak ścieżki:null
   [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile>
   cZxid = 0x89
   ...
   [zk: localhost:2181(CONNECTED) 1] quit
   Kończenie...
3. Włącz ponownie uwierzytelnianie podstawowe i uwierzytelnianie SAML:
   

   curl -H "Content-Type: application/xml&quot;
   http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
   '<SecurityProfile enabled="true" name=&quot;securityprofile&quot;&gt;
   . <UserAccessControl enabled="true">
   . &lt;SSOServer&gt;
   . &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt;
   . &lt;PublicKeyEndPoint&gt;/token_key&lt;/PublicKeyEndPoint&gt;
   . &lt;ServerUrl&gt;http://35.197.37.220:9099&lt;/ServerUrl&gt;
   . &lt;/SSOServer&gt;
   </UserAccessControl>
   </SecurityProfile>'

   Ty może teraz ponownie korzystać z uwierzytelniania podstawowego.