إعداد apigee-sso للوصول إلى HTTPS

الإصدار 4.18.01 من Edge الخاص بخدمة Private Cloud

يصف تثبيت خدمة Edge المُوحَّد (SSO) وضبطها طريقة تثبيت وحدة الدخول المُوحَّد (SSO) على Edge وضبطها لاستخدام HTTP على المنفذ 9099، كما هو محدّد في السمة التالية في ملف الإعداد:

SSO_TOMCAT_PROFILE=DEFAULT

يمكنك بدلاً من ذلك ضبط SSO_TOMCAT_PROFILE على إحدى القيم التالية لتفعيل إمكانية الوصول إلى HTTPS:

• SSL_PROXY: لضبط apigee-sso في وضع الخادم الوكيل، ما يعني أنّك ثبّت جهاز موازنة الحمل أمام apigee-sso وأغلقت بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة التحميل. بعد ذلك، عليك تحديد المنفذ المستخدَم في apigee-sso للطلبات الواردة من جهاز موازنة التحميل.
• SSL_TERMINATION: تم تفعيل الوصول عبر بروتوكول أمان طبقة النقل (TLS) إلى apigee-sso، وهي وحدة الدخول الموحَّد (SSO) في Edge، على المنفذ الذي تختاره. يجب تحديد ملف تخزين مفاتيح في هذا الوضع يحتوي على شهادة موقَّعة من مرجع تصديق. لا يمكنك استخدام شهادة موقعة ذاتيًا.

يمكنك اختيار تفعيل HTTPS في وقت تثبيت apigee-sso وضبطه مبدئيًا، أو يمكنك تفعيله لاحقًا.

يؤدي تفعيل إمكانية الوصول عبر HTTPS إلى apigee-sso باستخدام أي من الوضعين إلى إيقاف وصول HTTP. وهذا يعني أنّه لا يمكنك الوصول إلى apigee-sso باستخدام كلّ من HTTP وHTTPS في آنٍ واحد.

تمكين وضع SSL_PROXY

في وضع SSL_PROXY، يستخدم نظامك موازن حمولة أمام وحدة الدخول الموحَّد (SSO) على Edge وينهي بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة الحمل. في الشكل التالي، ينهي جهاز موازنة الحمل بروتوكول أمان طبقة النقل (TLS) على المنفذ 443، ثم يُعيد توجيه الطلبات إلى وحدة خدمة الدخول المُوحَّد (SSO) من Edge على المنفذ 9099:

من خلال هذه الإعدادات، تثق في الاتصال من جهاز موازنة الحمل إلى وحدة الدخول المُوحَّد (SSO) على Edge، لذلك لا حاجة إلى استخدام بروتوكول أمان طبقة النقل (TLS) لهذا الاتصال. ومع ذلك، يجب الآن على الكيانات الخارجية، مثل موفِّر هوية (IdP) SAML، الوصول إلى وحدة خدمة الدخول المُوحَّد (SSO) من Edge على المنفذ 443، وليس على المنفذ 9099 غير المحمي.

السبب في ضبط وحدة تحكُّم الدخول المُوحَّد (SSO) في Edge في وضع SSL_PROXY هو أنّ وحدة الدخول المُوحَّد (SSO) في Edge تنشئ تلقائيًا عناوين URL لإعادة التوجيه التي يستخدمها موفِّر الهوية خارجيًا كجزء من عملية المصادقة. لذلك، يجب أن تحتوي عناوين URL لإعادة التوجيه هذه على رقم المنفذ الخارجي في جهاز موازنة الحمل، 443 في هذا المثال، وليس المنفذ الداخلي في وحدة EdgeSSO المُوحَّد (SSO) 9099.

ملاحظة: ليس عليك إنشاء شهادة ومفتاح بروتوكول أمان طبقة النقل (TLS) لوضع SSL_PROXY لأنّ الاتصال من جهاز موازنة الحمل بوحدة الدخول المُوحَّد (SSO) في Edge يستخدم HTTP.

لضبط وحدة تحكُّم الدخول المُوحَّد (SSO) على Edge في وضع SSL_PROXY:

1. أضِف الإعدادات التالية إلى ملف الإعداد:
   # تفعيل وضع SSL_PROXY:
   SSO_TOMCAT_PROFILE=SSL_PROXY
   
   # حدِّد منفذ apigee-sso، يتراوح عادةً بين 1025 و65535.
   # عادةً ما تتطلب المنافذ 1024 والمنافذ 1024 الوصول إلى الجذر من خلال apigee-sso.
   # القيمة التلقائية هي 9099.
   SSO_TOMCAT_port=9099
   
   # حدِّد رقم المنفذ في جهاز موازنة الحمل لإنهاء بروتوكول أمان طبقة النقل (TLS).
   # رقم المنفذ هذا ضروري لـ apigee-sso لإنشاء عناوين URL لإعادة التوجيه تلقائيًا.
   SSO_TOMCAT_PROXY_port=443
   SSO_PUBLIC_URL_port=443
   تعيين <br-0 الوصول العام إلى <br class="ph-sso- public
   
   SSO_PUBLIC_URL_SCHEME=https
2. اضبط وحدة خدمة الدخول المُوحَّد (SSO) على Edge:
   > /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
3. يُرجى تعديل إعدادات موفِّر الهوية لتقديم طلب HTTPS في المنفذ 443 من جهاز موازنة الحمل للوصول إلى خدمة Edge المُوحَّد (SSO). راجِع ضبط موفِّر هوية (IdP) SAML للحصول على مزيد من المعلومات.
4. يمكنك تعديل إعدادات واجهة مستخدم Edge الخاصة ببروتوكول HTTPS من خلال ضبط السمات التالية:
   SSO_public_URL_port=443
   الدخول المُوحَّد (SSO) إلى الاتصال بالإنترنت (SSO_PUBLIC_URL_SCHEME=https)
   
   يمكنك الاطّلاع على تفعيل SAML على واجهة مستخدم Edge لمزيد من المعلومات.
5. في حال تثبيت بوابة خدمات المطوّرين أو واجهة برمجة التطبيقات BaaS، يمكنك تحديثهما لاستخدام HTTPS للوصول إلى الدخول الموحَّد في Ede. لمزيد من المعلومات، يُرجى الاطّلاع على:
   • إعداد بوابة خدمات المطوّرين لاستخدام SAML للتواصل مع Edge
   • تفعيل SAML لـ BaaS لواجهة برمجة التطبيقات

تمكين وضع SSL_TERMINATION

بالنسبة إلى وضع SSL_TERMINATION، عليك إجراء ما يلي:

• تم إنشاء شهادة ومفتاح بروتوكول أمان طبقة النقل (TLS) وتخزينها في ملف تخزين مفاتيح. لا يمكنك استخدام شهادة موقَّعة ذاتيًا. يجب إنشاء شهادة من مرجع تصديق (CA).
• عدِّل إعدادات ضبط apigee-sso..

لإنشاء ملف تخزين من شهادتك ومفتاحك:

1. أنشئ دليلًا لملف JKS:
   > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
2. انتقِل إلى الدليل الجديد:
   > cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
3. أنشئ ملف JKS يحتوي على الشهادة والمفتاح. يجب تحديد ملف تخزين مفاتيح في هذا الوضع يحتوي على شهادة موقعة من مرجع تصديق. لا يمكنك استخدام شهادة موقعة ذاتيًا. ولمعرفة مثال عن إنشاء ملف JKS، يُرجى الاطّلاع على ضبط بروتوكول أمان طبقة النقل أو طبقة المقابس الآمنة في متصفّح Edge على الجهاز.
4. جعل ملف JKS ملكًا لمستخدم "apigee":
   > sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

لضبط وحدة الدخول المُوحَّد (SSO) على Edge:

1. إضافة الإعدادات التالية إلى ملف الإعداد:
   # تفعيل وضع SSL_TERMINATION:
   SSO_TOMCAT_PROFILE=SSL_TERMINATION
   
   # حدِّد المسار إلى ملف تخزين المفاتيح.
   SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
   الدخول الموحَّد (SSO_TOMCAT_KEYSTORE_ALIAS=sso)
   
   # كلمة المرور التي تم تحديدها عند إنشاء ملف تخزين المفاتيح.
   SSO_TOMCAT_KEYSTORE_ ليس كلمة المرور:keystorePassword
   
   # حدِّد رقم منفذ HTTPS بين 1025 و65535.
   # عادةً ما تتطلب المنافذ 1024 والمنافذ 1024 الوصول إلى الجذر من خلال apigee-sso.
   # القيمة التلقائية هي 9099.
   SSO_TOMCAT_port=9443
   SSO_PUBLIC_URL_PORT=9443
   
   # ضبط نظام الوصول العام لـ apigee-sso على https.
   SSO_PUBLIC_URL_SCHEME=https
2. اضبط وحدة خدمة الدخول المُوحَّد (SSO) على Edge:
   > /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
3. يُرجى تعديل إعدادات موفِّر الهوية لتقديم طلب HTTPS في المنفذ 9443 من جهاز موازنة الحمل للوصول إلى الدخول المُوحَّد (SSO) في Edge. راجِع ضبط موفِّر هوية (IdP) SAML للحصول على مزيد من المعلومات.
4. يمكنك تعديل إعدادات واجهة مستخدم Edge الخاصة ببروتوكول HTTPS من خلال ضبط السمات التالية:
   SSO_PUBLIC_URL_port=9443
   SSO_PUBLIC_URL_SCHEME=https
   
   يمكنك الاطّلاع على تفعيل SAML على واجهة مستخدم Edge لمعرفة المزيد.
5. في حال تثبيت بوابة خدمات المطوّرين أو واجهة برمجة التطبيقات BaaS، يمكنك تحديثهما لاستخدام HTTPS للوصول إلى الدخول الموحَّد في Ede. لمزيد من المعلومات، يُرجى الاطّلاع على:
   • إعداد بوابة خدمات المطوّرين لاستخدام SAML للتواصل مع Edge
   • تفعيل SAML لـ BaaS لواجهة برمجة التطبيقات

إعداد تسجيل الدخول الموحّد (SSO_TOMCAT_PROXY_port) عند استخدام وضع "طبقة المقابس الآمنة" (SSL_TERMINATION)

قد يكون لديك جهاز لموازنة الحمل أمام وحدة الدخول الموحَّد (SSO) في Edge الذي ينهي بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة الحمل، ولكنه أيضًا يفعّل بروتوكول أمان طبقة النقل (TLS) بين جهاز موازنة التحميل وخدمة الدخول المُوحَّد (SSO) في Edge. في الشكل أعلاه بالنسبة إلى وضع SSL_PROXY، يعني هذا أنّ الاتصال من موازن الحمل إلى خدمة Edge يستند إلى بروتوكول أمان طبقة النقل (TLS).

في هذا السيناريو، يمكنك ضبط خدمة الدخول المُوحَّد (SSO) عبر بروتوكول أمان طبقة النقل (TLS) على Edge تمامًا كما فعلت أعلاه في وضع SSL_TERMINATION. ومع ذلك، إذا كان جهاز موازنة الحمولة يستخدم رقم منفذ TLS مختلفًا عن تلك التي يستخدمها تسجيل الدخول المُوحَّد (SSO) في Edge لبروتوكول أمان طبقة النقل (TLS)، عليك أيضًا تحديد السمة SSO_TOMCAT_PROXY_PORT في ملف الإعداد. مثلاً:

• ينهي جهاز موازنة الحمل بروتوكول أمان طبقة النقل (TLS) على المنفذ 443
• ينهي تسجيل الدخول الموحَّد (SSO) على Edge بروتوكول أمان طبقة النقل (TLS) على المنفذ 9443

تأكَّد من تضمين الإعداد التالي في ملف الإعداد:

# حدِّد رقم المنفذ في جهاز موازنة الحمل لإنهاء بروتوكول أمان طبقة النقل (TLS).
# يُعد رقم المنفذ هذا ضروريًا بالنسبة إلى apigee-sso بهدف geعناوين URL لإعادة التوجيه.
SSO_TOMCAT_PROXY_port=443
SSO_PUBLIC_URL_port=443

تتيح لك هذه السياسة ضبط واجهة مستخدم موفِّر الهوية وواجهة مستخدم Edge لإجراء طلبات HTTPS على المنفذ 443.