התקנה והגדרה של SSO ב-Edge

Edge for Private Cloud גרסה 4.17.09

כדי להתקין את מודול ה-SSO של Edge וכדי להגדיר אותו, קודם צריך ליצור שתי קבוצות של מפתחות ואישורים של TLS. מודול Edge SSO משתמש ב-TLS כדי לאבטח את העברת המידע כחלק מתהליך לחיצת היד של SAML עם ה-IdP של SAML.

הערה: כברירת מחדל, אפשר לגשת למודול ה-SSO של Edge באמצעות HTTP ביציאה 9099 הצומת שבו הוא מותקן. אפשר להפעיל TLS במודול SSO ב-Edge. כדי לעשות את זה, צריך כדי ליצור קבוצה שלישית של מפתחות ואישורים של TLS שמשמשים את Tomcat לתמיכה ב-TLS. מידע נוסף זמין במאמר הגדרת apigee-sso לגישת HTTPS.

יצירת מפתחות ואישורים של TLS

בעזרת השלבים הבאים תוכלו ליצור אישורים בחתימה עצמית. יכול להיות שזה מתאים לסביבת הבדיקה שלכם, אבל בדרך כלל נדרשים אישורים חתומים על ידי רשות אישורים בסביבת ייצור.

כדי ליצור את מפתח האימות והחתימה ואישור עם החתימה העצמית:

  1. > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
  2. > cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
  3. > sudo opensl genrsa -out privkey.pem 2048
  4. > sudo opensl rsa -pubout -in privkey.pem –out pubkey.pem
  5. > sudo chown apigee:apigee *.pem

כדי ליצור מפתח ואישור בחתימה עצמית, ללא ביטוי סיסמה, לתקשורת עם SAML IDP:

  1. > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
  2. > cd /opt/apigee/customer/application/apigee-sso/saml/
  3. יצירת המפתח הפרטי באמצעות ביטוי סיסמה:
    > sudo opensl genrsa -aes256 -out Server.key 1024
  4. הסרת ביטוי הסיסמה מהמפתח:
    > sudo opensl rsa -in server.key -out server.key
  5. יצירת בקשה לחתימה על אישור עבור CA:
    > sudo opensl req -x509 -sha256 -new -key server.key -out server.csr
  6. יצירת אישור עם חתימה עצמית והתוקף שלו יפוג תוך 365 ימים:
    > sudo opensl x509 -sha256 -ימים 365 -in server.csr -signkey server.key -out selfsigned.crt
  7. > sudo chown apigee:apigee server.key
  8. > sudo chown apigee:apigee selfsigned.crt

כדי להפעיל TLS במודול Edge SSO, על ידי הגדרת SSO_TOMCAT_PROFILE אל SSL_TERMINATION או אל SSL_PROXY, לא ניתן להשתמש באישור עם חתימה עצמית. צריך ליצור אישור מ-CA. למידע נוסף, ראו הגדרת apigee-sso גישה באמצעות HTTPS.

התקנה והגדרה של Edge SSO ל-HTTP לגשת ל

כדי להתקין את מודול ה-SSO Edge, apigee-sso, צריך להשתמש באותו תהליך. שבהם השתמשתם כדי להתקין את Edge. מכיוון ש-apigee-sso מיוצג על ידי קובץ RPM, כלומר, המשתמש שמבצע את ההתקנה חייב להיות משתמש ברמה הבסיסית (root) או להיות משתמש עם sudo מלא גישה. ראו סקירה כללית של התקנת קצה עוד.

מעבירים קובץ תצורה למנהל ההתקנה. קובץ התצורה מופיע בפורמט הבא:

IP1=hostname_or_ip_of_management_server
IP2=hostname_or_ip_of_UI_and_apigge_sso

## Management Server configuration.
MSIP=$IP1
MGMT_PORT=8080
# Edge sys admin username and password as set when you installed Edge.
ADMIN_EMAIL=opdk@google.com
APIGEE_ADMINPW=Secret123
# Set the protocol for the Edge management API. Default is http. 
# Set to https if you enabled TLS on the management API.
MS_SCHEME=http

## Postgres configuration. 
PG_HOST=$IP1
PG_PORT=5432
# Postgres username and password as set when you installed Edge.
PG_USER=apigee
PG_PWD=postgres

# apigee-sso configuration.
SSO_PROFILE="saml"
# Externally accessible IP or DNS name of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
# Default port is 9099. If changing, set both properties to the same value.
SSO_PUBLIC_URL_PORT=9099
SSO_TOMCAT_PORT=9099
# Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso.
SSO_TOMCAT_PROFILE=DEFAULT
SSO_PUBLIC_URL_SCHEME=http

# SSO admin user name. The default is ssoadmin.
SSO_ADMIN_NAME=ssoadmin
# SSO admin password using uppercase, lowercase, number, and special chars. 
SSO_ADMIN_SECRET=Secret123

# Path to signing key and secret from "Create the TLS keys and certificates" above.
SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem
SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem

# Name of SAML IDP. For example, okta or adfs. 
SSO_SAML_IDP_NAME=okta
# Text displayed to user when they attempt to access Edge UI.
SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP"

# The metadata URL from your IDP.
# If you have a metadata file, and not a URL, 
# see "Specifying a metadata file instead of a URL" below.
SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata

# Specifies to skip TLS validation for the URL specified
# by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. 
# Default value is "n".
SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n

# SAML service provider key and cert from "Create the TLS keys and certificates" above.
SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key
SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt
# The passphrase used when you created the SAML cert and key. 
# The section "Create the TLS keys and certificates" above removes the passphrase, 
# but this property is available if you require a passphrase.
# SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123

# Must configure an SMTP server so Edge SSO can send emails to users.
SKIP_SMTP=n
SMTPHOST=smtp.example.com
SMTPUSER=smtp@example.com  
# omit for no username
SMTPPASSWORD=smtppwd    
# omit for no password
SMTPSSL=n
SMTPPORT=25
SMTPMAILFROM="My Company <myco@company.com>"

כדי להתקין את מודול ה-SSO של Edge:

  1. מתחברים לצומת של שרת הניהול. בצומת הזה כבר צריך להתקין את apigee-service כפי שמתואר ב- מתקינים את כלי ההגדרה של Edge apigee-setup.
    שימו לב שאפשר להתקין את Edge SSO בצומת אחר. אבל הצומת הזה חייב להיות מסוגל לגשת לשרת הניהול ביציאה 8080.
  2. התקנה והגדרה של apigee-sso:
    > /opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile

    כאשר configFile הוא קובץ התצורה שמוצג למעלה.
  3. מתקינים את כלי השירות apigee-ssoadminapi.sh כדי ניהול משתמשים עם הרשאת אדמין ומכונה במודול apigee-sso:
    /opt/apigee/apigee-service/bin/apigee-service התקנה של apigee-ssoadminapi
  4. מתנתקים מהמעטפת ומתחברים שוב כדי להוסיף את הכלי apigee-ssoadminapi.sh לחשבון נתיב.

ציון קובץ מטא נתונים במקום כתובת URL

אם ה-IdP שלך לא תומך בכתובת URL של מטא-נתונים מסוג HTTP/HTTPS, אפשר להשתמש בקובץ XML של המטא-נתונים כדי הגדרת SSO של Edge:

  1. מעתיקים את התוכן של ה-XML של המטא-נתונים מה-IdP שלך לקובץ בצומת Edge SSO. עבור לדוגמה, מעתיקים את ה-XML אל:
    /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  2. שינוי הבעלות על הקובץ ל-apigee:apigee:
    &gt; אפיק שושן:אפיג'י /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  3. מגדירים את הערך של SSO_SAML_IDP_METADATA_URL לערך המוחלט נתיב הקובץ:
    SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml

    צריך להוסיף את הקידומת 'file://' לנתיב הקובץ ואחריו את הנתיב המוחלט מהשורש (/).