Включение SAML для API BaaS

Edge для частного облака v. 4.17.09

После включения SAML для Edge вы можете включить SAML для API BaaS. Поддержка SAML для API BaaS требует, чтобы вы уже установили и настроили модуль Edge SSO на узле Edge Management Server.

Общий процесс включения SAML для API BaaS:

  1. Настройте SAML на Edge, как описано в разделе Установка и настройка SAML для Edge .
  2. Установите API BaaS и убедитесь, что ваша установка работает правильно. Это включает в себя создание организаций BaaS. См. Установка API BaaS .
  3. Для всех существующих пользователей BaaS, включая системного администратора BaaS и администраторов организации BaaS, создайте соответствующего пользователя в IDP. Адрес электронной почты пользователя в IDP должен быть тем же, который использовался для создания пользователя BaaS.
  4. Настройте SAML на API BaaS.

Настройка SAML на API BaaS

Чтобы настроить SAML в API BaaS, вам необходимо включить его как на портале BaaS, так и в стеке (в указанном порядке).

Сначала вы создаете файл конфигурации для настройки SAML:

# IP address of BaaS Portal
IP1=11.111.11.111

# IP address of apigee-sso node
IP2=22.222.22.222

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# The name of the OAuth client used to connect to apigee-sso.
# The default client name is "baas". 
BAAS_SSO_CLIENT_NAME=baas

# If set, the existing BAAS client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you reconfigure SAML and change the value of 
# any of the BAAS_* properties.
BAAS_SSO_CLIENT_OVERWRITE=y

# API BaaS Portal properties:
BAAS_SSO_ENABLED=y

# Comma separated list of URLs for the BAAS portal, 
# in the format:  http_or_https://IP_or_hostname_of_UI:9000. 
# You can have multiple URLs when you have multiple installations
# of the BAAS portal or you have multiple data centers.
BAAS_PUBLIC_URIS=http_or_https://IP_or_hostname_of_BAAS:9000
BAAS_SSO_REGISTERED_PUBLIC_URIS=$BAAS_PUBLIC_URIS

# API BaaS Stack properties
BAAS_SSO_ENABLED=y

Чтобы настроить API BaaS для включения поддержки SAML:

  1. Выполните следующую команду, чтобы настроить SAML на портале BaaS:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal configure-sso -f samlConfigFile

    где samlConfigFile — файл конфигурации SAML.
  2. Выполните следующую команду, чтобы перезапустить портал:
    > /opt/apigee/apigee-service/bin/apigee-service перезапуск baas-portal
  3. Выполните следующую команду, чтобы настроить SAML на всех узлах стека BaaS:
    > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure-sso -f samlConfigFile

Чтобы позже изменить эти значения, обновите файлы конфигурации и повторите эти шаги.

Отключить SAML в API BaaS

Чтобы отключить SAML в API BaaS:

  1. Отредактируйте файл конфигурации, который вы использовали для настройки SAM, чтобы установить:
    BAAS_SSO_ENABLED=n
  2. Настройте портал BaaS:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal configure-sso -f configFile

    Примечание. Пользователи, которые никогда не устанавливали пароль BaaS, должны нажать ссылку «Сбросить пароль» на странице входа, чтобы установить новый пароль.
  3. Выполните следующую команду, чтобы перезапустить портал:
    > /opt/apigee/apigee-service/bin/apigee-service перезапуск baas-portal
  4. Настройте стек BaaS:
    > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure-sso -f configFile