為 API BaaS 啟用 SAML

Private Cloud v. 4.17.09 版本

為 Edge 啟用 SAML 後,即可為 API BaaS 啟用 SAML。對 API BaaS 的支援 您必須先安裝並在 Edge 上設定 Edge SSO 模組 Management Server 節點,

為 API BaaS 啟用 SAML 的一般流程如下:

  1. 按照 SAML 的安裝和設定 Edge
  2. 安裝 API BaaS,並確認安裝可以正常運作。這包括 建立 BaaS 機構請參閱 API BaaS 安裝
  3. 針對所有現有的 BaaS 使用者,包括 BaaS 系統管理員和 BaaS 機構 系統管理員請在 IDP 中建立對應的使用者。在 IdP 必須與建立 BaaS 使用者時使用的 IDP 相同。
  4. 在 API BaaS 上設定 SAML。

在 API BaaS 上設定 SAML

如要在 API BaaS 上設定 SAML,您必須在 BaaS 入口網站和 Stack 上啟用 SAML, 順序。

首先,請建立設定檔來設定 SAML:

# IP address of BaaS Portal
IP1=11.111.11.111

# IP address of apigee-sso node
IP2=22.222.22.222

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# The name of the OAuth client used to connect to apigee-sso.
# The default client name is "baas". 
BAAS_SSO_CLIENT_NAME=baas

# If set, the existing BAAS client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you reconfigure SAML and change the value of 
# any of the BAAS_* properties.
BAAS_SSO_CLIENT_OVERWRITE=y

# API BaaS Portal properties:
BAAS_SSO_ENABLED=y

# Comma separated list of URLs for the BAAS portal, 
# in the format:  http_or_https://IP_or_hostname_of_UI:9000. 
# You can have multiple URLs when you have multiple installations
# of the BAAS portal or you have multiple data centers.
BAAS_PUBLIC_URIS=http_or_https://IP_or_hostname_of_BAAS:9000
BAAS_SSO_REGISTERED_PUBLIC_URIS=$BAAS_PUBLIC_URIS

# API BaaS Stack properties
BAAS_SSO_ENABLED=y

如何設定 API BaaS 以啟用 SAML 支援:

  1. 執行下列指令,在 BaaS 入口網站上設定 SAML:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal configuration-sso -f samlConfigFile

    其中 samlConfigFile 是 SAML 設定檔。
  2. 執行下列指令,重新啟動入口網站:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal restart
  3. 執行下列指令,為所有 BaaS 堆疊節點設定 SAML:
    > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configuration-sso -f samlConfigFile

日後如要變更這些值,請更新設定檔,然後再次執行這些步驟。

在 API BaaS 上停用 SAML

如何在 API BaaS 上停用 SAML:

  1. 編輯用來設定 SAM 的設定檔:
    BAAS_SSO_ENABLED=n
  2. 設定 BaaS 入口網站:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal configuration-sso -f configFile

    注意:從未設定 BaaS 密碼的使用者必須選取「重設」 密碼連結,即可設定新密碼。
  3. 執行下列指令,重新啟動入口網站:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal restart
  4. 設定 BaaS 堆疊:
    > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configuration-sso -f configFile