Edge for Private Cloud เวอร์ชัน 4.17.09
หลังจากเปิดใช้ SAML ใน Edge แล้ว คุณจะปิดใช้การตรวจสอบสิทธิ์พื้นฐานได้ อย่างไรก็ตาม ก่อนที่คุณจะ ปิดใช้การตรวจสอบสิทธิ์พื้นฐาน
- ตรวจสอบว่าได้เพิ่มผู้ใช้ Edge ทั้งหมดรวมถึงผู้ดูแลระบบไปยัง SAML แล้ว IDP
- ตรวจสอบว่าคุณได้ทดสอบการตรวจสอบสิทธิ์ SAML ในการจัดการ Edge UI และ Edge แล้ว API
- หากคุณใช้ API BaaS ด้วย ให้กำหนดค่าและทดสอบ SAML ใน API BaaS ดูการเปิดใช้ SAML สำหรับ API BaaS
- หากคุณใช้พอร์ทัลบริการสำหรับนักพัฒนาซอฟต์แวร์ ให้กำหนดค่าและทดสอบ SAML ในพอร์ทัลเพื่อ ตรวจสอบว่าพอร์ทัลเชื่อมต่อกับ Edge ได้ โปรดดูการกำหนดค่าพารามิเตอร์ พอร์ทัลบริการสำหรับนักพัฒนาแอปเพื่อใช้ SAML เพื่อสื่อสารกับ Edge
การดูโปรไฟล์ความปลอดภัยปัจจุบัน
คุณดูโปรไฟล์ความปลอดภัยของ Edge ได้เพื่อระบุการกำหนดค่าปัจจุบันเพื่อระบุว่า เปิดใช้การตรวจสอบสิทธิ์พื้นฐานและ SAML อยู่ในขณะนี้ ใช้การเรียก API การจัดการ Edge ต่อไปนี้บน Edge เซิร์ฟเวอร์การจัดการ เพื่อดูโปรไฟล์การรักษาความปลอดภัยปัจจุบันที่ Edge ใช้:
> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
ถ้าคุณยังไม่ได้กำหนดค่า SAML ข้อความตอบกลับจะเป็นดังนี้ ซึ่งหมายความว่าการตรวจสอบสิทธิ์พื้นฐานคือ เปิดใช้งาน:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
หากเปิดใช้ SAML แล้ว คุณจะเห็นแท็ก <ssoserver> ในเอาต์พุต ดังนี้
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
โปรดสังเกตว่าเวอร์ชันที่เปิดใช้ SAML จะแสดง <BasicAuthEnabled>true</BasicAuthEnabled> หมายถึงการตรวจสอบสิทธิ์พื้นฐานคือ ยังคงเปิดใช้งานอยู่
ปิดใช้การตรวจสอบสิทธิ์พื้นฐาน
ใช้การเรียก Edge Management API ต่อไปนี้บนเซิร์ฟเวอร์การจัดการ Edge เพื่อปิดใช้บริการพื้นฐาน การตรวจสอบสิทธิ์ โปรดทราบว่าคุณต้องส่งออบเจ็กต์ XML ที่แสดงผลในส่วนก่อนหน้าเป็นเพย์โหลด มีเพียง จะต่างกันอย่างไร <BasicAuthEnabled>false</BasicAuthEnabled>:
> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
หลังจากปิดใช้การตรวจสอบสิทธิ์พื้นฐานแล้ว การเรียก Edge Management API ใดๆ ที่ส่งผ่านข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์พื้นฐาน แสดงข้อผิดพลาดต่อไปนี้
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
เปิดใช้การตรวจสอบสิทธิ์พื้นฐานอีกครั้ง
ถ้าคุณต้องเปิดใช้การตรวจสอบสิทธิ์พื้นฐานอีกครั้งไม่ว่าจะด้วยเหตุผลใดก็ตาม คุณต้องทำตามขั้นตอนต่อไปนี้
ข้อควรระวัง: ในการเปิดใช้การตรวจสอบสิทธิ์พื้นฐานอีกครั้ง คุณจะต้องปิดใช้ชั่วคราว การตรวจสอบสิทธิ์ all ใน Edge รวมถึง SAML
- เข้าสู่ระบบโหนด Edge ZooKeeper
- เรียกใช้ Bash Script ต่อไปนี้เพื่อปิดการรักษาความปลอดภัยทั้งหมด:
ข้อควรระวัง: ขั้นตอนนี้จะปิดใช้การตรวจสอบสิทธิ์ทั้งหมดใน Edge รวมถึง SAML
#! /bin/bash
/opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOFตั้งค่า /system/securityprofile <SecurityProfile></SecurityProfile>ออกEOF
คุณจะเห็นผลลัพธ์ในรูปแบบ:
การเชื่อมต่อกับ localhost:2181
ยินดีต้อนรับสู่ ZooKeeper!
เปิดใช้การรองรับ JLine แล้ว
ผู้ดู::
สถานะ "ดูแล้ว": ซิงค์การเชื่อมต่อ type:ไม่มี path:null[zk: localhost:2181(เชื่อมต่อแล้ว) 0] ตั้งค่า /system/securityprofile <SecurityProfile></SecurityProfile>cZxid = 0x89...
[zk: localhost:2181(CONNECTED) 1] ออก
กำลังออก... - เปิดใช้การตรวจสอบสิทธิ์พื้นฐานและการตรวจสอบสิทธิ์ SAML อีกครั้ง:
curl -H "ประเภทเนื้อหา: application/xml"
คุณ สามารถใช้การตรวจสอบสิทธิ์พื้นฐานอีกครั้งได้แล้ว
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
"<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'