HTTPS erişimi için Apigee-sso'yu yapılandırma

Edge for Private Cloud 4.18.01 sürümü

Edge TOA'yı yükleme ve yapılandırma bölümünde, HTTP kullanımı için Edge TOA modülünü yükleyip yapılandırın. aşağıdaki özelliği ekleyin:

SSO_TOMCAT_PROFILE=DEFAULT

Alternatif olarak, SSO_TOMCAT_PROFILE parametresini aşağıdakilerden birine ayarlayabilirsiniz: değerlerini kullanın:

  • SSL_PROXY - Proxy modunda Apigee-sso'yu yapılandırır, yani Apigee-sso'nun önüne bir yük dengeleyici yükledi ve yükte sonlandırılmış TLS kullanabilirsiniz. Daha sonra, yükten gelen istekler için Apigee-sso tablosunda kullanılan bağlantı noktasını belirtirsiniz. kullanabilirsiniz.
  • SSL_TERMINATION - istediğiniz bir bağlantı noktası seçin. Bu mod için CA. Kendinden imzalı sertifikalar kullanamazsınız.

Apigee-sso'yu ilk yüklediğiniz ve yapılandırdığınız sırada HTTPS'yi etkinleştirebilir veya daha sonra etkinleştirebilirsiniz.

İki moddan birini kullanarak Apigee-sso öğesine HTTPS erişiminin etkinleştirilmesi HTTP'yi devre dışı bırakır erişim. Yani hem HTTP hem de HTTPS kullanarak Apigee-sso aracına erişemezsiniz elde edebilirsiniz.

SSL_PROXY modunu etkinleştir

SSL_PROXY modundayken sisteminiz, Edge TOA modülünün önünde bir yük dengeleyici kullanır ve yük dengeleyicide TLS'yi sonlandırır. İçinde aşağıdaki şekilde yük dengeleyici 443 numaralı bağlantı noktasında TLS'yi sonlandırır ve ardından istekleri 9099 numaralı bağlantı noktasında Edge TOA modülü:

Bu yapılandırmada, yük dengeleyici ile Edge TOA modülü arasındaki bağlantıya güveniyorsunuz Bu nedenle bu bağlantı için TLS kullanılmasına gerek yoktur. Ancak SAML gibi harici varlıklar IDP'niz artık Edge TOA modülüne 9099 bağlantı noktasından değil, 443 numaralı bağlantı noktasından erişebilmelidir.

Edge TOA modülünün SSL_PROXY modunda yapılandırılmasının nedeni, Edge TOA modülünün kimlik doğrulama işleminin bir parçası olarak IDP tarafından harici olarak kullanılan yönlendirme URL'lerini otomatik olarak oluşturur. Dolayısıyla bu yönlendirme URL'leri, yük dengeleyici üzerinde harici bağlantı noktası numarasını (443) içermelidir. bu örnekte değil, Edge TOA modülündeki dahili bağlantı noktası (9099) değildir.

Not: SSL_PROXY modu için TLS sertifikası ve anahtarı oluşturmanız gerekmez, çünkü Edge TOA modülüne giden yük dengeleyicinin HTTP kullanması gerekir.

SSL_PROXY modu için Edge TOA modülünü yapılandırmak üzere:

  1. Yapılandırma dosyanıza şu ayarları ekleyin:
    # SSL_PROXY modunu etkinleştir.
    . SSO_TOMCAT_PROFILE=SSL_PROXY

    . # Apigee-sso bağlantı noktasını (genellikle 1025 ile 65535 arasında) belirtin.
    . # 1024 ve altındaki bağlantı noktaları genellikle Apigee-sso tarafından kök erişimi gerektirir.
    . # Varsayılan değer 9099'dur.
    . SSO_TOMCAT_PORT=9099

    . # TLS'yi sonlandırmak için yük dengeleyicide bağlantı noktası numarasını belirtin.
    . # Bu bağlantı noktası numarası, Apigee-sso yönlendirme URL'lerinin otomatik olarak oluşturulması için gereklidir.
    SSO_TOMCAT_PROXY_PORT=443
    SSO_PUBLIC_URL_PORT=443

    . # Apigee-sso için genel erişim şemasını https olarak ayarlayın.
    . SSO_PUBLIC_URL_SCHEME=https
  2. Edge TOA modülünü yapılandırın:
    > /opt/Apigee/Apigee-service/bin/gelir-hizmeti Apigee-sso kurulumu -f configFile
  3. Artık yükün 443 numaralı bağlantı noktasında HTTPS isteği yapacak şekilde IDP yapılandırmanızı güncelleyin Edge TOA'ya erişmek için dengeleyiciyi kullanın. Bkz. SAML'nizi yapılandırma IdP hakkında daha fazla bilgi edinin.
  4. Aşağıdaki özellikleri ayarlayarak Edge kullanıcı arayüzü yapılandırmanızı HTTPS için güncelleyin:
    SSO_PUBLIC_URL_PORT=443
    SSO_PUBLIC_URL_SCHEME=https


    . Daha fazla bilgi için Edge kullanıcı arayüzünde SAML'yi etkinleştirme başlıklı makaleyi inceleyin.
  5. Developer Services portalı veya API BaaS'yi yüklediyseniz bunları HTTPS kullanarak Ede TOA'ya erişin. Daha fazla bilgi için:

SSL_TERMINATION modunu etkinleştir

SSL_TERMINATION modunda, zorunluluk:

  • TLS sertifikası ve anahtarı oluşturuldu ve bunlar bir anahtar deposu dosyasında depolandı. ve kendinden imzalı olan bir sertifikadır. Bir CA'dan sertifika oluşturmanız gerekir.
  • Apigee-sso için yapılandırma ayarlarını güncelleyin.

Sertifikanızdan ve anahtarınızdan anahtar deposu dosyası oluşturmak için:

  1. JKS dosyası için bir dizin oluşturun:
    > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  2. Yeni dizine geçin:
    > cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  3. Sertifikayı ve anahtarı içeren bir JKS dosyası oluşturun. Bu mod için anahtar deposu belirtmelisiniz sertifika içeren bir destek ekibi oluşturun. Kendinden imzalı sertifikalar kullanamazsınız. Örnek olarak daha fazla bilgi için TLS/SSL'yi yapılandırma Edge On Tesis.
  4. JKS dosyasını "Apigee"ye ait hale getirme kullanıcı:
    > sudo chown -R Apigee:Apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

Edge TOA modülünü yapılandırmak için:

  1. Yapılandırma dosyanıza şu ayarları ekleyin:
    # SSL_TERMINATION modunu etkinleştirin.
    . SSO_TOMCAT_PROFILE=SSL_TERMINATION

    . # Anahtar deposu dosyasının yolunu belirtin.
    . SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
    SSO_TOMCAT_KEYSTORE_ALIAS=sso

    . # Anahtar deposunu oluştururken belirtilen şifre.
    . SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

    . # 1025 ile 65535 arasında olan HTTPS bağlantı noktası numarasını belirtin.
    . # 1024 ve altındaki bağlantı noktaları genellikle Apigee-sso tarafından kök erişimi gerektirir.
    . # Varsayılan değer 9099'dur.
    . SSO_TOMCAT_PORT=9443
    SSO_PUBLIC_URL_PORT=9443

    . # Apigee-sso için genel erişim şemasını https olarak ayarlayın.
    . SSO_PUBLIC_URL_SCHEME=https
  2. Edge TOA modülünü yapılandırın:
    > /opt/Apigee/Apigee-service/bin/gelir-hizmeti Apigee-sso kurulumu -f configFile
  3. Artık yükün 9443 numaralı bağlantı noktasında HTTPS isteği yapacak şekilde IDP yapılandırmanızı güncelleyin Edge TOA'ya erişmek için dengeleyiciyi kullanın. Bkz. SAML'nizi yapılandırma IdP hakkında daha fazla bilgi edinin.
  4. Aşağıdaki özellikleri ayarlayarak Edge kullanıcı arayüzü yapılandırmanızı HTTPS için güncelleyin:
    SSO_PUBLIC_URL_PORT=9443
    SSO_PUBLIC_URL_SCHEME=https


    . Daha fazla bilgi için Edge kullanıcı arayüzünde SAML'yi etkinleştirme başlıklı makaleyi inceleyin.
  5. Developer Services portalı veya API BaaS'yi yüklediyseniz bunları HTTPS kullanarak Ede TOA'ya erişin. Daha fazla bilgi için:

SSL_TERMINATION modu kullanılırken TOA_TOMCAT_PROXY_PORT parametresi ayarlanıyor

Edge TOA modülünün önünde, yükte TLS'yi sonlandıran bir yük dengeleyiciniz olabilir yük dengeleyici ile Edge TOA arasında TLS'yi de etkinleştirir. Yukarıdaki şekilde SSL_PROXY modu için bu yük dengeleyiciden Edge TOA'ya giden bağlantıda TLS kullandığı anlamına gelir.

Bu senaryoda, yukarıda SSL_TERMINATION modu için yaptığınız gibi Uç TOA'da TLS'yi yapılandırırsınız. Ancak, dengeleyici uç TOA'nın TLS için kullandığından farklı bir TLS bağlantı noktası numarası kullanıyorsa; SSO_TOMCAT_PROXY_PORT özelliğini etkinleştirin. Örneğin:

  • Yük dengeleyici, 443 numaralı bağlantı noktasında TLS'yi sonlandırır
  • Edge TOA, 9443 numaralı bağlantı noktasında TLS'yi sonlandırıyor

Yapılandırma dosyasına aşağıdaki ayarı eklediğinizden emin olun:

# Bağlantı noktasını belirtin numarası gerekir.
. # Bu bağlantı noktası numarası: Necessary Apigee-sso to generate yönlendirmesi için URL'ler.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

IDP ve Edge kullanıcı arayüzünü 443 numaralı bağlantı noktasında HTTPS istekleri yapacak şekilde yapılandırın.