Edge एसएसओ (SSO) इंस्टॉल और कॉन्फ़िगर करें

Edge for Private Cloud v. 4.17.09

Edge एसएसओ मॉड्यूल को इंस्टॉल और कॉन्फ़िगर करने के लिए, यह ज़रूरी है कि आप पहले TLS कुंजियां और प्रमाणपत्र. Edge एसएसओ मॉड्यूल, जानकारी भेजने की प्रक्रिया को सुरक्षित बनाने के लिए TLS का इस्तेमाल करता है को एसएएमएल हैंडशेकिंग प्रोसेस के हिस्से के तौर पर शामिल किया जाता है.

ध्यान दें: डिफ़ॉल्ट रूप से, Edge एसएसओ मॉड्यूल को, इसके पोर्ट 9099 पर एचटीटीपी से ऐक्सेस किया जा सकता है वह नोड जिस पर इसे इंस्टॉल किया गया है. एज एसएसओ मॉड्यूल पर, TLS की सुविधा को चालू किया जा सकता है. ऐसा करने के लिए, आपके पास की मदद से TLS को सपोर्ट करने के लिए TLS कुंजियों और सर्टिफ़िकेट का तीसरा सेट बनाया जा सकता है. ज़्यादा जानकारी के लिए, एचटीटीपीएस ऐक्सेस के लिए apigee-sso कॉन्फ़िगर करना लेख पढ़ें.

TLS कुंजियां और प्रमाणपत्र बनाएं

नीचे दिया गया तरीका, खुद हस्ताक्षर किए गए सर्टिफ़िकेट बनाता है. यह आपके टेस्ट एनवायरमेंट के लिए अच्छा हो सकता है, लेकिन आपको प्रोडक्शन एनवायरमेंट के लिए, सीए से हस्ताक्षर किए गए सर्टिफ़िकेट की ज़रूरत होती है.

पुष्टि और साइनिंग पासकोड और खुद हस्ताक्षर किया गया सर्टिफ़िकेट बनाने के लिए:

  1. > सूडो एमकेडीर -पी /opt/apigee/customer/application/apigee-sso/jwt-keys
  2. > cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
  3. > सूडो ओपनसल जेनर्सा -आउट privkey.pem 2048
  4. > सूडो ओपन्सल आरएसए -पबआउट -इन privkey.pem -out pubkey.pem
  5. > सूडो चॉन एपीआईजी:एपिजी *.pem

एसएएमएल से कम्यूनिकेट करने के लिए, बिना लंबा पासवर्ड के पासकोड और खुद हस्ताक्षर किया गया सर्टिफ़िकेट बनाने के लिए IDP:

  1. > सूडो एमकेडीर -पी /opt/apigee/customer/application/apigee-sso/saml/
  2. > cd /opt/apigee/customer/application/apigee-sso/saml/
  3. लंबे पासवर्ड से अपनी निजी पासकोड जनरेट करें:
    > सूडो ओपनसल जेनर्सा -aes256 -आउट Server.key 1024
  4. कुंजी से लंबा पासवर्ड हटाएं:
    > सूडो ओपनस्सल आरएसए -inserver.key -out server.key
  5. सीए के लिए, सर्टिफ़िकेट पर हस्ताक्षर करने का अनुरोध जनरेट करें:
    > सूडो ओपनसेल रीक्यू -x509 -sha256 -नया -कुंजी Server.key -outserver.csr
  6. 365 दिनों की समयसीमा के मुताबिक, खुद हस्ताक्षर किया हुआ सर्टिफ़िकेट जनरेट करें:
    > सूडो ओपन एसएसएल x509 -sha256 -दिन 365 -inserver.csr -signkey service.key -out Selfsign.crt
  7. > सूडो चॉन एपीआईजी:एपिजी server.key
  8. > सूडो चॉन एपीआईजी:एपिजी selfsigned.crt

अगर आपको Edge एसएसओ मॉड्यूल पर TLS को चालू करना है, तो SSO_TOMCAT_PROFILE को SSL_TERMINATION से या फिर SSL_PROXY, तो आप खुद हस्ताक्षर किए हुए प्रमाणपत्र का इस्तेमाल नहीं कर सकते. आपको सर्टिफ़िकेट मिला है. इसके लिए apigee-sso कॉन्फ़िगर करें एचटीटीपीएस का ऐक्सेस.

एचटीटीपी के लिए, Edge एसएसओ (SSO) को इंस्टॉल और कॉन्फ़िगर करें ऐक्सेस

Edge एसएसओ मॉड्यूल, apigee-sso इंस्टॉल करने के लिए, आपको यही प्रोसेस इस्तेमाल करनी होगी जिसे आपने Edge इंस्टॉल किया था. apigee-sso को आरपीएम फ़ाइल से दिखाया जाता है, इसका मतलब है कि इंस्टॉल करने वाला उपयोगकर्ता रूट उपयोगकर्ता होना चाहिए या ऐसा उपयोगकर्ता होना चाहिए जिसके पास पूरा सूडो हो ऐक्सेस दें. इसके लिए Edge इंस्टॉलेशन की खास जानकारी देखें वगैरह को कॉपी करने का विकल्प है.

इंस्टॉलर को कोई कॉन्फ़िगरेशन फ़ाइल पास करें. कॉन्फ़िगरेशन फ़ाइल इस तरह की होती है:

IP1=hostname_or_ip_of_management_server
IP2=hostname_or_ip_of_UI_and_apigge_sso

## Management Server configuration.
MSIP=$IP1
MGMT_PORT=8080
# Edge sys admin username and password as set when you installed Edge.
ADMIN_EMAIL=opdk@google.com
APIGEE_ADMINPW=Secret123
# Set the protocol for the Edge management API. Default is http. 
# Set to https if you enabled TLS on the management API.
MS_SCHEME=http

## Postgres configuration. 
PG_HOST=$IP1
PG_PORT=5432
# Postgres username and password as set when you installed Edge.
PG_USER=apigee
PG_PWD=postgres

# apigee-sso configuration.
SSO_PROFILE="saml"
# Externally accessible IP or DNS name of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
# Default port is 9099. If changing, set both properties to the same value.
SSO_PUBLIC_URL_PORT=9099
SSO_TOMCAT_PORT=9099
# Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso.
SSO_TOMCAT_PROFILE=DEFAULT
SSO_PUBLIC_URL_SCHEME=http

# SSO admin user name. The default is ssoadmin.
SSO_ADMIN_NAME=ssoadmin
# SSO admin password using uppercase, lowercase, number, and special chars. 
SSO_ADMIN_SECRET=Secret123

# Path to signing key and secret from "Create the TLS keys and certificates" above.
SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem
SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem

# Name of SAML IDP. For example, okta or adfs. 
SSO_SAML_IDP_NAME=okta
# Text displayed to user when they attempt to access Edge UI.
SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP"

# The metadata URL from your IDP.
# If you have a metadata file, and not a URL, 
# see "Specifying a metadata file instead of a URL" below.
SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata

# Specifies to skip TLS validation for the URL specified
# by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. 
# Default value is "n".
SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n

# SAML service provider key and cert from "Create the TLS keys and certificates" above.
SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key
SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt
# The passphrase used when you created the SAML cert and key. 
# The section "Create the TLS keys and certificates" above removes the passphrase, 
# but this property is available if you require a passphrase.
# SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123

# Must configure an SMTP server so Edge SSO can send emails to users.
SKIP_SMTP=n
SMTPHOST=smtp.example.com
SMTPUSER=smtp@example.com  
# omit for no username
SMTPPASSWORD=smtppwd    
# omit for no password
SMTPSSL=n
SMTPPORT=25
SMTPMAILFROM="My Company <myco@company.com>"

Edge एसएसओ मॉड्यूल को इंस्टॉल करने के लिए:

  1. मैनेजमेंट सर्वर नोड में लॉग इन करें. उस नोड में पहले से ही apigee-service इंस्टॉल होना चाहिए, जैसा कि यहां बताया गया है Edge apigee-सेटअप यूटिलिटी इंस्टॉल करें.
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है ध्यान दें कि आपके पास किसी दूसरे नोड पर Edge एसएसओ (SSO) इंस्टॉल करने का विकल्प है. हालांकि, वह नोड ऐसा होना चाहिए कि पोर्ट 8080 पर मैनेजमेंट सर्वर ऐक्सेस करें.
  2. apigee-sso को इंस्टॉल और कॉन्फ़िगर करें:
    > /opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile

    जहां configFile ऊपर दिखाई गई कॉन्फ़िगरेशन फ़ाइल है.
  3. apigee-ssoadminapi.sh यूटिलिटी इंस्टॉल करें: apigee-sso मॉड्यूल के लिए एडमिन और मशीन उपयोगकर्ता प्रबंधित करें:
    /opt/apigee/apigee-service/bin/apigee-service apigee-ssoadminapi इंस्टॉल
  4. शेल से लॉग आउट करें और फिर से अपने खाते में apigee-ssoadminapi.sh सुविधा जोड़ने के लिए फिर से लॉग इन करें पाथ.

यूआरएल के बजाय मेटाडेटा फ़ाइल तय करना

अगर आपका आईडीपी (IdP) एचटीटीपी/एचटीटीपीएस मेटाडेटा यूआरएल के साथ काम नहीं करता है, तो मेटाडेटा एक्सएमएल फ़ाइल का इस्तेमाल इन कामों के लिए किया जा सकता है Edge एसएसओ (SSO) कॉन्फ़िगर करें:

  1. मेटाडेटा एक्सएमएल के कॉन्टेंट को अपने आईडीपी से, Edge एसएसओ नोड पर मौजूद किसी फ़ाइल में कॉपी करें. इसके लिए उदाहरण के लिए, एक्सएमएल को इसमें कॉपी करें:
    /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  2. फ़ाइल का मालिकाना हक apigee:apigee:
    में बदलें &gt; चॉन एपीआईजी:पिजी /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  3. SSO_SAML_IDP_METADATA_URL की वैल्यू को निरपेक्ष पर सेट करें फ़ाइल पाथ:
    SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml

    आपको फ़ाइल पाथ के आगे "file://" लगाना होगा. इसके बाद, ऐब्सलूट पाथ होना चाहिए रूट (/) से.