Edge'de Temel Kimlik Doğrulama'yı devre dışı bırakma

Edge for Private Cloud s. 4.17.09

Edge'de SAML'yi etkinleştirdikten sonra Temel Kimlik Doğrulama'yı devre dışı bırakabilirsiniz. Ancak, sizden önce Temel Kimlik Doğrulama'yı devre dışı bırakın:

  • Sistem yöneticileri dahil olmak üzere tüm Edge kullanıcılarını SAML'nize eklediğinizden emin olun. IdP'ye dokunun.
  • Edge kullanıcı arayüzünde ve Edge yönetiminde SAML kimlik doğrulamasını baştan sona test ettiğinizden emin olun API'ye gidin.
  • API BaaS'yi de kullanıyorsanız SAML'yi API BaaS üzerinde yapılandırın ve test edin. API BaaS için SAML'yi Etkinleştirme başlıklı makaleyi inceleyin.
  • Geliştirici Hizmetleri portalını kullanıyorsanız SAML'yi portalda yapılandırıp test ederek portalın Edge'e bağlanabildiğinden emin olun. Bkz. Edge ile iletişim kurmak üzere SAML'yi kullanmak için Geliştirici Hizmetleri portalına gidin.

Geçerli güvenlik profili görüntüleniyor

Mevcut yapılandırmayı belirlemek için Edge güvenlik profiline giderek Temel Kimlik Doğrulama ve SAML şu anda etkin. Uçta aşağıdaki Edge management API çağrısını kullanın Edge tarafından kullanılan mevcut güvenlik profilini görüntülemek için Yönetim Sunucusu'nu kullanın:

> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

SAML'yi henüz yapılandırmadıysanız yanıt aşağıdaki gibidir; yani Temel Kimlik Doğrulama etkin:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

SAML'yi zaten etkinleştirdiyseniz çıkışta &lt;ssoserver&gt; etiketini görürsünüz:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

SAML'nin etkin olduğu sürümün de &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt; (Temel Kimlik Doğrulama) anlamına gelir hâlâ etkin.

Temel Kimlik Doğrulama'yı Devre Dışı Bırak

Temel'i devre dışı bırakmak için Uç Yönetim Sunucusu'nda aşağıdaki Edge management API çağrısını kullanın Yetkilendirme Önceki bölümde döndürülen XML nesnesinin yükü olarak iletileceğini unutmayın. Tek hedef EBM'yi &lt;BasicAuthEnabled&gt;false&lt;/BasicAuthEnabled&gt;:

> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Temel Kimlik Doğrulama'yı devre dışı bıraktıktan sonra Temel Kimlik Doğrulama kimlik bilgilerini geçiren tüm Edge yönetim API çağrıları şu hatayı döndürür:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Temel Kimlik Doğrulama'yı Yeniden Etkinleştir

Herhangi bir nedenle Temel Kimlik Doğrulama'yı yeniden etkinleştirmeniz gerekirse aşağıdaki adımları uygulamanız gerekir:

Dikkat: Temel Kimlik Doğrulama'yı yeniden etkinleştirme işlemi kapsamında, Temel Kimlik Doğrulama özelliğini geçici olarak devre dışı bırakmanız gerekir. SAML dahil olmak üzere Edge'de all kimlik doğrulaması gerçekleştirilmelidir.

  1. Herhangi bir Edge ZooKeeper düğümüne giriş yapın.
  2. Tüm güvenliği kapatmak için aşağıdaki bash komut dosyasını çalıştırın:
    Dikkat: Bu adım, SAML dahil olmak üzere Edge'de tüm kimlik doğrulamasını devre dışı bırakır.
    .
    . #! /bin/bash
    /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
    set /system/securityprofile &lt;SecurityProfile&gt;&lt;/SecurityProfile&gt;
    çık

    EOF
    Çıkış şu biçimde gösterilir:
    localhost:2181'e bağlanma:2181
    ZooKeeper'a hoş geldiniz!
    . JLine desteği etkinleştirildi
    İZLEYİCİ::

    WatchedEvent status:SyncConnected type:None path:null
    [zk: localhost:2181(BAĞLANDI) 0] /system/securityprofile <SecurityProfile></SecurityProfile> olarak ayarlayın
    cZxid = 0x89
    ...
    [zk: localhost:2181(CONNECTED) 1] çık
    Çıkılıyor...
  3. Temel Kimlik Doğrulama ve SAML kimlik doğrulamasını yeniden etkinleştirin:

    > curl -H "İçerik-Tür: application/xml&quot;
    http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
    "<SecurityProfile enabled="true" name=&quot;securityprofile&quot;&gt;

    <UserAccessControl enabled="true">
    &lt;SSOServer&gt;
    &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt;
    &lt;PublicKeyEndPoint&gt;/token_key&lt;/PublicKeyEndPoint&gt;
    &lt;ServerUrl&gt;http://35.197.37.220:9099&lt;/ServerUrl&gt;
    &lt;/SSOServer&gt;
    </UserAccessControl>
    </SecurityProfile>'

    Siz artık Temel Kimlik Doğrulama'yı tekrar kullanabilir.