停用 Edge 的基本驗證功能

Private Cloud v. 4.17.09 版本

啟用 Edge 上的 SAML 後，即可停用基本驗證。但在您之前 停用基本驗證：

• 請確認您已將所有 Edge 使用者 (包括系統管理員) 新增至您的 SAML IdP
• 確認您已在 Edge UI 和 Edge 管理上全面測試 SAML 驗證 也能使用 Google Cloud CLI 或 Compute Engine API
• 如果您也使用 API BaaS，請在 API BaaS 上設定及測試 SAML。請參閱為 API BaaS 啟用 SAML。
• 如果您使用「開發人員服務」入口網站，請在入口網站設定並測試 SAML， 確保入口網站可連線至 Edge。如需說明，請參閱設定 「開發人員服務」入口網站，使用 SAML 與 Edge 通訊。

查看目前的安全性設定檔

您可以查看邊緣安全性設定檔來判斷目前的設定，以判斷目前的設定是否 目前已啟用基本驗證和 SAML。在 Edge 上使用下列 Edge Management API 呼叫 查看 Edge 所使用的目前安全性設定檔：

> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

如果您尚未設定 SAML，回應如下，表示「基本驗證」 已啟用：

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

如果您已啟用 SAML，就會在輸出內容中看到 <ssoserver> 標記：

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

請注意，啟用 SAML 的版本也會顯示 <BasicAuthEnabled>true</BasicAuthEnabled> 代表「基本驗證」為

停用基本驗證

在 Edge Management Server 上，使用下列 Edge Management API 呼叫來停用基本版 驗證請注意，您會以酬載的形式傳送上一節中傳回的 XML 物件。只有 差別在於 <BasicAuthEnabled>false</BasicAuthEnabled>:

> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

停用基本驗證後，所有通過基本驗證憑證的 Edge Management API 呼叫都會 會傳回下列錯誤：

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

重新啟用基本驗證

如果您因故必須重新啟用基本驗證，則必須執行下列步驟：

注意：當您重新啟用「基本驗證」時，必須暫時停用「基本驗證」 Edge 上的 all 驗證，包括 SAML。

1. 登入任何 Edge ZooKeeper 節點。
2. 執行下列 bash 指令碼，關閉所有安全防護機制：
   注意：這個步驟會停用 Edge 上的所有驗證，包括 SAML。
   
   #!/bin/bash
   
   /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
   設定 /system/securityprofile &lt;SecurityProfile&gt;&lt;/SecurityProfile&gt;
   結束
   
   EOF
   輸出內容的格式為：
   連線至 localhost:2181
   歡迎使用 ZooKeeper！
   已啟用 JLine 支援
   智慧手錶：
   
   WatchedEvent 狀態：SyncConnected type:None path:null
   [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile>。
   cZxid = 0x89
   ...
   [zk: localhost:2181(CONNECTED) 1] 結束
   退出中...
3. 重新啟用基本驗證和 SAML 驗證：
   

   &gt;curl -H「Content-Type: application/xml&quot;
   http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
   <SecurityProfile enabled="true"name=&quot;securityprofile&quot;&gt;
   <UserAccessControl enabled="true">
   &lt;SSOServer&gt;
   &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt;
   &lt;PublicKeyEndPoint&gt;/token_key&lt;/PublicKeyEndPoint&gt;
   &lt;ServerUrl&gt;http://35.197.37.220:9099&lt;/ServerUrl&gt;
   &lt;/SSOServer&gt;
   </UserAccessControl>
   </SecurityProfile>'

   個人中心 現在可再次使用基本驗證