Skonfiguruj apigee-sso pod kątem dostępu przez HTTPS

Edge for Private Cloud w wersji 4.18.01

W artykule Instalowanie i konfigurowanie Edge SSO dowiesz się, jak to zrobić. aby zainstalować i skonfigurować moduł Edge SSO do używania protokołu HTTP na porcie 9099 zgodnie z opisem tę właściwość w pliku konfiguracyjnym:

SSO_TOMCAT_PROFILE=DEFAULT

Możesz też ustawić SSO_TOMCAT_PROFILE na jedną z następujących włącz dostęp przez HTTPS:

  • SSL_PROXY – konfiguruje apigee-sso w trybie proxy, czyli zainstalowano system równoważenia obciążenia przed apigee-sso i zakończył obsługę TLS na obciążeniu. systemu równoważenia obciążenia. Następnie określasz port używany w apigee-sso dla żądań z obciążenia. systemu równoważenia obciążenia.
  • SSL_TERMINATION – włączono dostęp TLS do apigee-sso (modułu Edge SSO) w przez wybrany port. Dla tego trybu musisz określić magazyn kluczy zawierający certyfikat podpisany przez Urząd certyfikacji. Nie możesz używać samodzielnie podpisanego certyfikatu.

Możesz włączyć HTTPS podczas wstępnej instalacji i konfiguracji apigee-sso lub później.

Włączenie dostępu HTTPS do strony apigee-sso w dowolnym z tych trybów powoduje wyłączenie HTTP dostęp. Oznacza to, że nie można uzyskać dostępu do strony apigee-sso zarówno za pomocą HTTP, jak i HTTPS. jednocześnie.

Włącz tryb SSL_PROXY

W trybie SSL_PROXY system używa systemu równoważenia obciążenia przed modułem Edge SSO i wyłącza TLS w systemie równoważenia obciążenia. W zgodnie z poniższym wykresem system równoważenia obciążenia kończy działanie TLS na porcie 443 i przekierowuje żądania do Moduł Edge SSO na porcie 9099:

W tej konfiguracji ufasz połączeniu między systemem równoważenia obciążenia a modułem Edge SSO więc nie musisz używać TLS. Jednostki zewnętrzne, takie jak SAML, Dostawca tożsamości musi teraz uzyskiwać dostęp do modułu Edge SSO na porcie 443, a nie na niezabezpieczonym porcie 9099.

Moduł Edge SSO w trybie SSL_PROXY należy skonfigurować, ponieważ automatycznie generuje adresy URL przekierowania używane zewnętrznie przez dostawcę tożsamości w ramach procesu uwierzytelniania. Dlatego te przekierowania muszą zawierać numer zewnętrznego portu w systemie równoważenia obciążenia (443 w w tym przykładzie, a nie wewnętrzny port 9099 modułu Edge SSO.

Uwaga: nie musisz tworzyć certyfikatu i klucza TLS dla trybu SSL_PROXY, ponieważ połączenie z system równoważenia obciążenia modułu Edge SSO używa protokołu HTTP.

Aby skonfigurować moduł Edge SSO w trybie SSL_PROXY:

  1. Dodaj do pliku konfiguracyjnego te ustawienia:
    # Włącz tryb SSL_PROXY.
    SSO_TOMCAT_PROFILE=SSL_PROXY

    # Podaj port apigee-sso, zwykle między 1025 a 65535.
    # Zwykle porty 1024 i starsze wymagają dostępu na poziomie roota za pomocą apigee-sso.
    # Wartość domyślna to 9099.
    SSO_TOMCAT_PORT=9099

    # Podaj numer portu w systemie równoważenia obciążenia na potrzeby zakończenia obsługi protokołu TLS.
    # Ten numer portu jest niezbędny do automatycznego generowania przekierowań przez apigee-sso.
    SSO_TOMCAT_PROXY_PORT=443
    SSO_PUBLIC_URL_PORT=443

    # Ustaw schemat dostępu publicznego dla apigee-sso na https.
    SSO_PUBLIC_URL_SCHEME=https
  2. Skonfiguruj moduł Edge SSO:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-sso konfiguracja -f configFile
  3. Zaktualizuj konfigurację dostawcy tożsamości, aby wysyłać żądania HTTPS na port 443 obciążenia systemu równoważenia obciążenia w celu uzyskania dostępu do Edge SSO. Zobacz Konfigurowanie SAML dostawcy tożsamości.
  4. Zaktualizuj konfigurację interfejsu Edge pod kątem protokołu HTTPS, ustawiając te właściwości:
    SSO_PUBLIC_URL_PORT=443
    SSO_PUBLIC_URL_SCHEME=https


    Więcej informacji znajdziesz w artykule Włączanie SAML w interfejsie Edge.
  5. Jeśli masz zainstalowany portal usług dla deweloperów lub interfejs API BaaS, zaktualizuj je tak, aby używały protokołu HTTPS dostęp do Ede SSO. Więcej informacji:

Włącz tryb SSL_TERMINATION

W trybie SSL_TERMINATION musi:

  • Wygenerowanie certyfikatu i klucza TLS oraz zapisanie ich w pliku magazynu kluczy. Nie można użyć samodzielnie podpisanym certyfikatem. Certyfikat musisz wygenerować z urzędu certyfikacji.
  • Zaktualizuj ustawienia konfiguracji apigee-sso.

Aby utworzyć plik magazynu kluczy na podstawie certyfikatu i klucza:

  1. Utwórz katalog dla pliku JKS:
    > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  2. Przejdź do nowego katalogu:
    > cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  3. Utwórz plik JKS zawierający certyfikat i klucz. Musisz określić magazyn kluczy dla tego trybu zawierający certyfikat podpisany przez urząd certyfikacji. Nie możesz używać samodzielnie podpisanego certyfikatu. Na przykład: podczas tworzenia pliku JKS znajdziesz w sekcji Konfigurowanie TLS/SSL dla Edge On Premises.
  4. Ustaw plik JKS jako należący do „apigee” użytkownik:
    > sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

Aby skonfigurować moduł Edge SSO:

  1. Dodaj do pliku konfiguracyjnego te ustawienia:
    # Włącz tryb SSL_TERMINATION.
    SSO_TOMCAT_PROFILE=SSL_TERMINATION

    # Podaj ścieżkę do pliku magazynu kluczy.
    SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
    SSO_TOMCAT_KEYSTORE_ALIAS=sso

    # Hasło podane podczas tworzenia magazynu kluczy.
    SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

    # Podaj numer portu HTTPS z zakresu od 1025 do 65535.
    # Zwykle porty 1024 i starsze wymagają dostępu na poziomie roota za pomocą apigee-sso.
    # Wartość domyślna to 9099.
    SSO_TOMCAT_PORT=9443
    SSO_PUBLIC_URL_PORT=9443

    # Ustaw schemat dostępu publicznego dla apigee-sso na https.
    SSO_PUBLIC_URL_SCHEME=https
  2. Skonfiguruj moduł Edge SSO:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-sso konfiguracja -f configFile
  3. Zaktualizuj konfigurację dostawcy tożsamości, aby wysyłać żądania HTTPS na port 9443 obciążenia systemu równoważenia obciążenia w celu uzyskania dostępu do Edge SSO. Zobacz Konfigurowanie SAML dostawcy tożsamości.
  4. Zaktualizuj konfigurację interfejsu Edge pod kątem protokołu HTTPS, ustawiając te właściwości:
    SSO_PUBLIC_URL_PORT=9443
    SSO_PUBLIC_URL_SCHEME=https


    Więcej informacji znajdziesz w artykule Włączanie SAML w interfejsie Edge.
  5. Jeśli masz zainstalowany portal usług dla deweloperów lub interfejs API BaaS, zaktualizuj je tak, aby używały protokołu HTTPS dostęp do Ede SSO. Więcej informacji:

Ustawianie SSO_TOMCAT_PROXY_PORT w trybie SSL_TERMINATION

Możesz mieć system równoważenia obciążenia przed modułem Edge SSO, który wyłącza TLS podczas wczytywania , a także włączyć protokół TLS między systemem równoważenia obciążenia a usługą Edge SSO. Na ilustracji powyżej w trybie SSL_PROXY, oznacza, że połączenie między systemem równoważenia obciążenia a usługą Edge SSO używa protokołu TLS.

W tym scenariuszu konfigurujesz protokół TLS w Edge SSO tak samo jak w przypadku trybu SSL_TERMINATION. Jeśli jednak obciążenie System równoważenia obciążenia używa innego numeru portu TLS niż logowanie jednokrotne na brzegu sieci dla protokołu TLS. Musisz też określić SSO_TOMCAT_PROXY_PORT w pliku config. Na przykład:

  • System równoważenia obciążenia zamyka TLS na porcie 443
  • Logowanie jednokrotne na Edge wyłącza TLS na porcie 9443

Pamiętaj, aby w pliku konfiguracji umieścić to ustawienie:

# Określ port w systemie równoważenia obciążenia służącym do zakończenia protokołu TLS.
# Ten numer portu to niezbędne for apigee-sso to generate przekierowanie Adresy URL.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

Konfiguruje dostawcę tożsamości i interfejs użytkownika Edge tak, aby wysyłał żądania HTTPS na porcie 443.