Edge SSO را نصب و پیکربندی کنید

Edge for Private Cloud نسخه 4.17.09

نصب و پیکربندی ماژول Edge SSO مستلزم آن است که ابتدا دو مجموعه کلید و گواهی TLS تولید کنید. ماژول Edge SSO از TLS برای ایمن سازی انتقال اطلاعات به عنوان بخشی از فرآیند دست دادن SAML با SAML IDP استفاده می کند.

توجه : به طور پیش فرض، ماژول Edge SSO از طریق HTTP در پورت 9099 گره ای که روی آن نصب شده است قابل دسترسی است. می توانید TLS را در ماژول Edge SSO فعال کنید. برای انجام این کار، باید مجموعه سومی از کلیدها و گواهینامه های TLS را ایجاد کنید که توسط Tomcat برای پشتیبانی از TLS استفاده می شود. برای اطلاعات بیشتر به پیکربندی apigee-sso برای دسترسی HTTPS مراجعه کنید.

کلیدها و گواهینامه های TLS را ایجاد کنید

مراحل زیر گواهی‌های خودامضا را ایجاد می‌کنند که ممکن است برای محیط آزمایش شما مناسب باشد، اما معمولاً برای محیط تولید به گواهی‌هایی نیاز دارید که توسط یک CA امضا شده باشد.

برای ایجاد کلید تأیید و امضا و گواهی خودامضا:

  1. > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
  2. > سی دی /opt/apigee/customer/application/apigee-sso/jwt-keys/
  3. > sudo openssl genrsa -out privkey.pem 2048
  4. > sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
  5. > sudo chown apigee:apigee *.pem

برای ایجاد گواهی کلید و خودامضا، بدون عبارت عبور، برای برقراری ارتباط با SAML IDP:

  1. > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
  2. > سی دی /opt/apigee/customer/application/apigee-sso/saml/
  3. کلید خصوصی خود را با یک عبارت عبور ایجاد کنید:
    > sudo openssl genrsa -aes256 -out server.key 1024
  4. عبارت عبور را از کلید حذف کنید:
    > sudo openssl rsa -in server.key -out server.key
  5. ایجاد درخواست امضای گواهی برای CA:
    > sudo openssl req -x509 -sha256 -new -key server.key -out server.csr
  6. تولید گواهی خودامضا با 365 روز زمان انقضا:
    > sudo openssl x509 -sha256 -days 365 -in server.csr -signkey server.key -out selfsigned.crt
  7. > sudo chown apigee:apigee server.key
  8. > sudo chown apigee:apigee selfsigned.crt

اگر می‌خواهید TLS را در ماژول SSO Edge فعال کنید، با تنظیم SSO_TOMCAT_PROFILE بر روی SSL_TERMINATION یا SSL_PROXY ، نمی‌توانید از گواهی امضاشده خود استفاده کنید. شما باید یک گواهی از یک CA ایجاد کنید. برای اطلاعات بیشتر به پیکربندی apigee-sso برای دسترسی HTTPS مراجعه کنید.

Edge SSO را برای دسترسی HTTP نصب و پیکربندی کنید

برای نصب ماژول Edge SSO، apigee-sso ، باید از همان فرآیندی استفاده کنید که برای نصب Edge استفاده کردید. از آنجا که apigee-sso با یک فایل RPM نشان داده می شود، به این معنی است که کاربری که نصب را انجام می دهد باید کاربر اصلی باشد یا کاربری باشد که دسترسی کامل sudo دارد. برای اطلاعات بیشتر به نمای کلی نصب Edge مراجعه کنید.

یک فایل کانفیگ را به نصب کننده ارسال کنید. فایل کانفیگ به شکل زیر است:

IP1=hostname_or_ip_of_management_server
IP2=hostname_or_ip_of_UI_and_apigge_sso

## Management Server configuration.
MSIP=$IP1
MGMT_PORT=8080
# Edge sys admin username and password as set when you installed Edge.
ADMIN_EMAIL=opdk@google.com
APIGEE_ADMINPW=Secret123
# Set the protocol for the Edge management API. Default is http. 
# Set to https if you enabled TLS on the management API.
MS_SCHEME=http

## Postgres configuration. 
PG_HOST=$IP1
PG_PORT=5432
# Postgres username and password as set when you installed Edge.
PG_USER=apigee
PG_PWD=postgres

# apigee-sso configuration.
SSO_PROFILE="saml"
# Externally accessible IP or DNS name of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
# Default port is 9099. If changing, set both properties to the same value.
SSO_PUBLIC_URL_PORT=9099
SSO_TOMCAT_PORT=9099
# Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso.
SSO_TOMCAT_PROFILE=DEFAULT
SSO_PUBLIC_URL_SCHEME=http

# SSO admin user name. The default is ssoadmin.
SSO_ADMIN_NAME=ssoadmin
# SSO admin password using uppercase, lowercase, number, and special chars. 
SSO_ADMIN_SECRET=Secret123

# Path to signing key and secret from "Create the TLS keys and certificates" above.
SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem
SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem

# Name of SAML IDP. For example, okta or adfs. 
SSO_SAML_IDP_NAME=okta
# Text displayed to user when they attempt to access Edge UI.
SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP"

# The metadata URL from your IDP.
# If you have a metadata file, and not a URL, 
# see "Specifying a metadata file instead of a URL" below.
SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata

# Specifies to skip TLS validation for the URL specified
# by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. 
# Default value is "n".
SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n

# SAML service provider key and cert from "Create the TLS keys and certificates" above.
SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key
SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt
# The passphrase used when you created the SAML cert and key. 
# The section "Create the TLS keys and certificates" above removes the passphrase, 
# but this property is available if you require a passphrase.
# SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123

# Must configure an SMTP server so Edge SSO can send emails to users.
SKIP_SMTP=n
SMTPHOST=smtp.example.com
SMTPUSER=smtp@example.com  
# omit for no username
SMTPPASSWORD=smtppwd    
# omit for no password
SMTPSSL=n
SMTPPORT=25
SMTPMAILFROM="My Company <myco@company.com>"

برای نصب ماژول Edge SSO:

  1. وارد گره مدیریت سرور شوید. آن گره باید قبلاً apigee-service را همانطور که در Install the Edge apigee-setup utility توضیح داده شده نصب کرده باشد.
    توجه داشته باشید که می توانید Edge SSO را روی گره دیگری نصب کنید. با این حال، آن گره باید بتواند از طریق پورت 8080 به مدیریت سرور دسترسی داشته باشد.
  2. نصب و پیکربندی apigee-sso :
    > /opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile

    که در آن configFile فایل پیکربندی نشان داده شده در بالا است.
  3. ابزار apigee-ssoadminapi.sh مورد استفاده برای مدیریت مدیران و کاربران ماشین برای ماژول apigee-sso را نصب کنید:
    /opt/apigee/apigee-service/bin/apigee-service apigee-ssoadminapi install
  4. از پوسته خارج شوید و دوباره وارد شوید تا ابزار apigee-ssoadminapi.sh را به مسیر خود اضافه کنید.

تعیین یک فایل فراداده به جای URL

اگر IDP شما از URL فراداده HTTP/HTTPS پشتیبانی نمی کند، می توانید از یک فایل XML فراداده برای پیکربندی Edge SSO استفاده کنید:

  1. محتویات فراداده XML را از IDP خود در فایلی در گره Edge SSO کپی کنید. به عنوان مثال، XML را در زیر کپی کنید:
    /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  2. تغییر مالکیت فایل به apigee:apigee:
    > chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  3. مقدار SSO_SAML_IDP_METADATA_URL را روی مسیر فایل مطلق تنظیم کنید:
    SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml

    شما باید مسیر فایل را با " file:// " پیشوند و به دنبال آن مسیر مطلق از ریشه (/) قرار دهید.