Instala y configura el SSO perimetral

Edge for Private Cloud v. 4.17.09

Para instalar y configurar el módulo de SSO de Edge, primero debes generar dos conjuntos claves y certificados TLS. El módulo de SSO de Edge usa TLS para proteger la transmisión de información como parte del proceso de enlace SAML con el IdP de SAML.

Nota: De forma predeterminada, se puede acceder al módulo de SSO de Edge a través de HTTP en el puerto 9099 de el nodo en el que está instalado. Puedes habilitar TLS en el módulo de SSO de Edge. Para hacerlo, tienes que para crear un tercer conjunto de claves y certificados TLS que Tomcat usa para admitir TLS. Consulta Configura apigee-sso para el acceso HTTPS para obtener más información.

Crea las claves y los certificados TLS

En los siguientes pasos, se crean certificados autofirmados, lo cual puede ser adecuado para tu entorno de pruebas, Por lo general, necesitas certificados firmados por una AC para un entorno de producción.

Para crear la clave de verificación y firma, y el certificado autofirmado, haz lo siguiente:

  1. > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
  2. > cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
  3. > sudo openssl genrsa -out privkey.pem 2048
  4. > sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
  5. > sudo chown apigee:apigee *.pem

Para crear la clave y el certificado autofirmado, sin frase de contraseña, para comunicarse con SAML IDP:

  1. > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
  2. > cd /opt/apigee/customer/application/apigee-sso/saml/
  3. Genera tu clave privada con una frase de contraseña:
    > sudo openssl genrsa -aes256 -out server.key 1024
  4. Quita la frase de contraseña de la clave:
    > sudo openssl rsa -en server.key -out server.key
  5. Genera una solicitud de firma de certificado para la AC:
    > sudo openssl req -x509 -sha256 -new -key server.key -out server.csr
  6. Genera un certificado autofirmado con una hora de vencimiento de 365 días:
    > sudo openssl x509 -sha256 -days 365: in server.csr -signkey server.key -out selfsigned.crt
  7. > sudo chown apigee:apigee server.key
  8. > sudo chown apigee:apigee selfsigned.crt

Si quieres habilitar TLS en el módulo de SSO de Edge, configura SSO_TOMCAT_PROFILE a SSL_TERMINATION o a SSL_PROXY, no puedes usar un certificado autofirmado. Debes generar un certificado de una AC. Consulta Configura Apigee-sso para acceso HTTPS para obtener más información.

Instala y configura el SSO de Edge para HTTP acceso

Para instalar el módulo de SSO de Edge, apigee-sso, debes usar el mismo proceso que usaste para instalar Edge. Debido a que apigee-sso se representa mediante un archivo RPM, Esto significa que el usuario que realiza la instalación debe ser el usuario raíz o un usuario con sudo completo el acceso a los datos. Consulta Descripción general de la instalación de Edge para obtener más.

Pasa un archivo de configuración al instalador. El archivo de configuración tiene el siguiente formato:

IP1=hostname_or_ip_of_management_server
IP2=hostname_or_ip_of_UI_and_apigge_sso

## Management Server configuration.
MSIP=$IP1
MGMT_PORT=8080
# Edge sys admin username and password as set when you installed Edge.
ADMIN_EMAIL=opdk@google.com
APIGEE_ADMINPW=Secret123
# Set the protocol for the Edge management API. Default is http. 
# Set to https if you enabled TLS on the management API.
MS_SCHEME=http

## Postgres configuration. 
PG_HOST=$IP1
PG_PORT=5432
# Postgres username and password as set when you installed Edge.
PG_USER=apigee
PG_PWD=postgres

# apigee-sso configuration.
SSO_PROFILE="saml"
# Externally accessible IP or DNS name of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
# Default port is 9099. If changing, set both properties to the same value.
SSO_PUBLIC_URL_PORT=9099
SSO_TOMCAT_PORT=9099
# Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso.
SSO_TOMCAT_PROFILE=DEFAULT
SSO_PUBLIC_URL_SCHEME=http

# SSO admin user name. The default is ssoadmin.
SSO_ADMIN_NAME=ssoadmin
# SSO admin password using uppercase, lowercase, number, and special chars. 
SSO_ADMIN_SECRET=Secret123

# Path to signing key and secret from "Create the TLS keys and certificates" above.
SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem
SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem

# Name of SAML IDP. For example, okta or adfs. 
SSO_SAML_IDP_NAME=okta
# Text displayed to user when they attempt to access Edge UI.
SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP"

# The metadata URL from your IDP.
# If you have a metadata file, and not a URL, 
# see "Specifying a metadata file instead of a URL" below.
SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata

# Specifies to skip TLS validation for the URL specified
# by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. 
# Default value is "n".
SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n

# SAML service provider key and cert from "Create the TLS keys and certificates" above.
SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key
SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt
# The passphrase used when you created the SAML cert and key. 
# The section "Create the TLS keys and certificates" above removes the passphrase, 
# but this property is available if you require a passphrase.
# SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123

# Must configure an SMTP server so Edge SSO can send emails to users.
SKIP_SMTP=n
SMTPHOST=smtp.example.com
SMTPUSER=smtp@example.com  
# omit for no username
SMTPPASSWORD=smtppwd    
# omit for no password
SMTPSSL=n
SMTPPORT=25
SMTPMAILFROM="My Company <myco@company.com>"

Para instalar el módulo de SSO de Edge, sigue estos pasos:

  1. Accede al nodo del servidor de administración. Ese nodo ya debe tener instalado apigee-service como se describe en Instala la utilidad de Apigee-setup de Edge.
    Ten en cuenta que puedes instalar el SSO de Edge en otro nodo. Sin embargo, ese nodo debe poder el servidor de administración a través del puerto 8080.
  2. Instala y configura apigee-sso:
    &gt; /opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile

    En el ejemplo anterior, configFile es el archivo de configuración que se mostró anteriormente.
  3. Instala la utilidad apigee-ssoadminapi.sh que se usa para administrar usuarios de administradores y máquinas para el módulo apigee-sso:
    /opt/apigee/apigee-service/bin/apigee-service Instalación de apigee-ssoadminapi
  4. Sal de la shell y, luego, vuelve a acceder para agregar la utilidad apigee-ssoadminapi.sh a tu ruta de acceso.

Especifica un archivo de metadatos en lugar de una URL

Si tu IdP no admite una URL de metadatos HTTP/HTTPS, puedes usar un archivo XML de metadatos para configurar el SSO de Edge:

  1. Copia el contenido de los metadatos XML de tu IdP a un archivo en el nodo de SSO de Edge. Para ejemplo, copia el XML a:
    /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  2. Cambia la propiedad del archivo a Apigee:apigee:
    &gt; chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  3. Configura SSO_SAML_IDP_METADATA_URL como absoluto ruta del archivo:
    SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml

    Debes agregar el prefijo "file://" a la ruta de acceso del archivo, seguido de la ruta de acceso absoluta. desde la raíz (/).