Basisauthentifizierung für Edge deaktivieren

Edge for Private Cloud v4.18.01

Nachdem Sie SAML in Edge aktiviert haben, können Sie Basic Auth deaktivieren. Bevor Sie jedoch Deaktivieren Sie Basic Auth:

  • Vergewissern Sie sich, dass Sie Ihrem SAML alle Edge-Nutzer, einschließlich Systemadministratoren, hinzugefügt haben. IdP.
  • Achten Sie darauf, dass Sie die SAML-Authentifizierung in der Edge-Benutzeroberfläche und in der Edge-Verwaltung gründlich getestet haben der API erstellen.
  • Wenn Sie auch API BaaS verwenden, konfigurieren und testen Sie SAML auf API BaaS. Siehe Aktivieren von SAML für API BaaS.
  • Wenn Sie das Developer Services-Portal verwenden, konfigurieren und testen Sie SAML auf dem Portal, um um sicherzustellen, dass das Portal eine Verbindung zu Edge herstellen kann. Weitere Informationen finden Sie unter Konfiguration der Developer Services-Portal zur Verwendung von SAML für die Kommunikation mit Edge.

Aktuelles Sicherheitsprofil ansehen

Sie können das Edge-Sicherheitsprofil aufrufen, um die aktuelle Konfiguration zu ermitteln und festzustellen, ob Basic Auth und SAML sind derzeit aktiviert. Verwenden Sie den folgenden Edge-Verwaltungs-API-Aufruf auf dem Edge. Management Server, um das aktuelle von Edge verwendete Sicherheitsprofil anzuzeigen:

> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Wenn Sie SAML noch nicht konfiguriert haben, lautet die Antwort wie unten dargestellt. Dies bedeutet, dass Basic Auth aktiviert:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Wenn Sie SAML bereits aktiviert haben, sehen Sie das Tag &lt;ssoserver&gt; in der Ausgabe:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

In der Version mit aktiviertem SAML wird auch &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt; bedeutet, dass Basic Auth immer noch aktiviert ist.

Basic Auth deaktivieren

Verwenden Sie den folgenden Edge-Verwaltungs-API-Aufruf auf dem Edge-Verwaltungsserver, um Basic zu deaktivieren Auth. Beachten Sie, dass Sie das im vorherigen Abschnitt zurückgegebene XML-Objekt als Nutzlast übergeben. Die einzige besteht darin, dass Sie &lt;BasicAuthEnabled&gt;false&lt;/BasicAuthEnabled&gt;:

> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Nach dem Deaktivieren von Basic Auth kann jeder Edge-Verwaltungs-API-Aufruf, der Basic Auth-Anmeldedaten weitergibt, gibt den folgenden Fehler zurück:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Basic Auth wieder aktivieren

Wenn Sie Basic Auth aus irgendeinem Grund wieder aktivieren müssen, führen Sie die folgenden Schritte aus:

Achtung: Wenn Sie Basic Auth wieder aktivieren, müssen Sie diese Funktion vorübergehend deaktivieren alle Authentifizierungen auf Edge-Geräten, einschließlich SAML.

  1. Melden Sie sich bei einem beliebigen Edge ZooKeeper-Knoten an.
  2. Führen Sie das folgende Bash-Skript aus, um alle Sicherheitsfunktionen zu deaktivieren:
    Achtung: Mit diesem Schritt wird die gesamte Authentifizierung auf Edge-Geräten deaktiviert, einschließlich SAML.

    #! /bin/bash
    /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
    set /system/securityprofile &lt;SecurityProfile&gt;&lt;/SecurityProfile&gt;
    Beenden
    EOF

    Die Ausgabe sieht so aus:
    Verbindung zu localhost:2181
    herstellen Willkommen bei ZooKeeper!
    JLine-Unterstützung ist aktiviert
    WATCHER::
    WatchedEvent state:SyncConnected type:None Path:null
    [zk: localhost:2181(CONNECTED) 0] /system/securityprofile <SecurityProfile></SecurityProfile> festlegen
    cZxid = 0x89
    ...
    [zk: localhost:2181(CONNECTED) 1] quit
    Wird beendet...
  3. Basic Auth und SAML-Authentifizierung wieder aktivieren:

    > curl -H "Inhaltstyp: application/xml&quot;
    http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
    '<SecurityProfile enabled="true" name=&quot;securityprofile&quot;&gt;
    <ph type="x-smartling-placeholder"></ph> <UserAccessControl enabled="true">
    <ph type="x-smartling-placeholder"></ph> &lt;SSOServer&gt;
    &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt;
    <ph type="x-smartling-placeholder"></ph> &lt;PublicKeyEndPoint&gt;/token_key&lt;/PublicKeyEndPoint&gt;
    <ph type="x-smartling-placeholder"></ph> &lt;ServerUrl&gt;http://35.197.37.220:9099&lt;/ServerUrl&gt;
    <ph type="x-smartling-placeholder"></ph> &lt;/SSOServer&gt;
    </UserAccessControl>
    </SecurityProfile>'

    Ich können Sie jetzt wieder Basic Auth verwenden.