הפעלת SAML עבור API BaaS

Edge for Private Cloud גרסה 4.17.09

אחרי שמפעילים את SAML עבור Edge, אפשר להפעיל את SAML עבור API BaaS. כדי לקבל תמיכה ב-SAML ל-API BaaS, קודם צריך להתקין ולהגדיר את מודול ה-SSO של Edge בצומת של שרת הניהול של Edge.

התהליך הכללי להפעלת SAML עבור API BaaS הוא:

  1. מגדירים את SAML ב-Edge כפי שמתואר במאמר התקנה והגדרה של SAML עבור Edge.
  2. צריך להתקין את BaaS של API ולוודא שההתקנה פועלת כמו שצריך. זה כולל יצירה של ארגוני BaaS. למידע נוסף, אפשר לעיין בקטע התקנת API BaaS.
  3. לכל משתמשי BaaS הקיימים, כולל מנהל המערכת של BaaS והאדמינים הארגוניים של BaaS, יוצרים משתמש מתאים ב-IdP. כתובת האימייל של המשתמש ב-IdP חייבת להיות זהה לכתובת האימייל ששימשה ליצירת משתמש ה-BaaS.
  4. הגדרת SAML ב-API BaaS.

הגדרת SAML ב-API BaaS

כדי להגדיר SAML ב-API BaaS, צריך להפעיל אותו גם ב-BaaS Portal וגם ב-Stack, לפי הסדר הזה.

קודם כול צריך ליצור קובץ תצורה כדי להגדיר SAML:

# IP address of BaaS Portal
IP1=11.111.11.111

# IP address of apigee-sso node
IP2=22.222.22.222

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# The name of the OAuth client used to connect to apigee-sso.
# The default client name is "baas". 
BAAS_SSO_CLIENT_NAME=baas

# If set, the existing BAAS client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you reconfigure SAML and change the value of 
# any of the BAAS_* properties.
BAAS_SSO_CLIENT_OVERWRITE=y

# API BaaS Portal properties:
BAAS_SSO_ENABLED=y

# Comma separated list of URLs for the BAAS portal, 
# in the format:  http_or_https://IP_or_hostname_of_UI:9000. 
# You can have multiple URLs when you have multiple installations
# of the BAAS portal or you have multiple data centers.
BAAS_PUBLIC_URIS=http_or_https://IP_or_hostname_of_BAAS:9000
BAAS_SSO_REGISTERED_PUBLIC_URIS=$BAAS_PUBLIC_URIS

# API BaaS Stack properties
BAAS_SSO_ENABLED=y

כדי להגדיר ממשקי BaaS של API להפעלת תמיכה ב-SAML:

  1. מריצים את הפקודה הבאה כדי להגדיר SAML ב-BaaS Portal:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal configuration-sso -f samlConfigFile

    כאשר samlConfigFile הוא קובץ התצורה של SAML.
  2. מריצים את הפקודה הבאה כדי להפעיל מחדש את הפורטל:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal הפעלה מחדש
  3. מריצים את הפקודה הבאה כדי להגדיר SAML בכל צומתי ה-BaaS Stack:
    > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configuration-sso -f samlConfigFile

כדי לשנות את הערכים במועד מאוחר יותר, יש לעדכן את קובצי התצורה ולהריץ את השלבים האלה שוב.

השבתת SAML ב-API BaaS

כדי להשבית SAML ב-API BaaS:

  1. עורכים את קובץ התצורה שבו השתמשתם כדי להגדיר את ה-SAM:
    BAAS_SSO_ENABLED=n
  2. מגדירים את BaaS Portal:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal configuration-sso -f configFile

    הערה: משתמשים שאף פעם לא הגדירו סיסמה של BaaS, צריכים ללחוץ על הקישור Reset password בדף ההתחברות כדי להגדיר סיסמה חדשה.
  3. מריצים את הפקודה הבאה כדי להפעיל מחדש את הפורטל:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal הפעלה מחדש
  4. מגדירים את BaaS Stack:
    > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configuration-sso -f configFile