Edge for Private Cloud s. 4.17.09
Edge'de SAML'yi etkinleştirdikten sonra Temel Kimlik Doğrulama'yı devre dışı bırakabilirsiniz. Ancak, sizden önce Temel Kimlik Doğrulama'yı devre dışı bırakın:
- Sistem yöneticileri dahil olmak üzere tüm Edge kullanıcılarını SAML'nize eklediğinizden emin olun. IdP'ye dokunun.
- Edge kullanıcı arayüzünde ve Edge yönetiminde SAML kimlik doğrulamasını baştan sona test ettiğinizden emin olun API'ye gidin.
- API BaaS'yi de kullanıyorsanız SAML'yi API BaaS üzerinde yapılandırın ve test edin. API BaaS için SAML'yi Etkinleştirme başlıklı makaleyi inceleyin.
- Geliştirici Hizmetleri portalını kullanıyorsanız SAML'yi portalda yapılandırıp test ederek portalın Edge'e bağlanabildiğinden emin olun. Bkz. Edge ile iletişim kurmak üzere SAML'yi kullanmak için Geliştirici Hizmetleri portalına gidin.
Geçerli güvenlik profili görüntüleniyor
Mevcut yapılandırmayı belirlemek için Edge güvenlik profiline giderek Temel Kimlik Doğrulama ve SAML şu anda etkin. Uçta aşağıdaki Edge management API çağrısını kullanın Edge tarafından kullanılan mevcut güvenlik profilini görüntülemek için Yönetim Sunucusu'nu kullanın:
> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
SAML'yi henüz yapılandırmadıysanız yanıt aşağıdaki gibidir; yani Temel Kimlik Doğrulama etkin:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
SAML'yi zaten etkinleştirdiyseniz çıkışta <ssoserver> etiketini görürsünüz:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
SAML'nin etkin olduğu sürümün de <BasicAuthEnabled>true</BasicAuthEnabled> (Temel Kimlik Doğrulama) anlamına gelir hâlâ etkin.
Temel Kimlik Doğrulama'yı Devre Dışı Bırak
Temel'i devre dışı bırakmak için Uç Yönetim Sunucusu'nda aşağıdaki Edge management API çağrısını kullanın Yetkilendirme Önceki bölümde döndürülen XML nesnesinin yükü olarak iletileceğini unutmayın. Tek hedef EBM'yi <BasicAuthEnabled>false</BasicAuthEnabled>:
> curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Temel Kimlik Doğrulama'yı devre dışı bıraktıktan sonra Temel Kimlik Doğrulama kimlik bilgilerini geçiren tüm Edge yönetim API çağrıları şu hatayı döndürür:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
Temel Kimlik Doğrulama'yı Yeniden Etkinleştir
Herhangi bir nedenle Temel Kimlik Doğrulama'yı yeniden etkinleştirmeniz gerekirse aşağıdaki adımları uygulamanız gerekir:
Dikkat: Temel Kimlik Doğrulama'yı yeniden etkinleştirme işlemi kapsamında, Temel Kimlik Doğrulama özelliğini geçici olarak devre dışı bırakmanız gerekir. SAML dahil olmak üzere Edge'de all kimlik doğrulaması gerçekleştirilmelidir.
- Herhangi bir Edge ZooKeeper düğümüne giriş yapın.
- Tüm güvenliği kapatmak için aşağıdaki bash komut dosyasını çalıştırın:
Dikkat: Bu adım, SAML dahil olmak üzere Edge'de tüm kimlik doğrulamasını devre dışı bırakır.
.
. #! /bin/bash
/opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOFset /system/securityprofile <SecurityProfile></SecurityProfile>çık
EOF
Çıkış şu biçimde gösterilir:
localhost:2181'e bağlanma:2181
ZooKeeper'a hoş geldiniz!
. JLine desteği etkinleştirildi
İZLEYİCİ::
WatchedEvent status:SyncConnected type:None path:null[zk: localhost:2181(BAĞLANDI) 0] /system/securityprofile <SecurityProfile></SecurityProfile> olarak ayarlayıncZxid = 0x89...
[zk: localhost:2181(CONNECTED) 1] çık
Çıkılıyor... - Temel Kimlik Doğrulama ve SAML kimlik doğrulamasını yeniden etkinleştirin:
> curl -H "İçerik-Tür: application/xml"
Siz artık Temel Kimlik Doğrulama'yı tekrar kullanabilir.
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
"<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'