Basisauthentifizierung für Edge deaktivieren

Edge for Private Cloud Version 4.18.01

Nachdem Sie SAML in Edge aktiviert haben, können Sie die Basisauthentifizierung deaktivieren. Bevor Sie jedoch die Basisauthentifizierung deaktivieren, müssen Sie Folgendes tun:

  • Achten Sie darauf, dass Sie Ihrem SAML-IdP alle Edge-Nutzer, einschließlich Systemadministratoren, hinzugefügt haben.
  • Prüfen Sie, ob Sie die SAML-Authentifizierung auf der Edge-Benutzeroberfläche und der Edge Management API gründlich getestet haben.
  • Wenn Sie auch API BaaS verwenden, konfigurieren und testen Sie SAML über API BaaS. Siehe SAML für API BaaS aktivieren.
  • Wenn Sie das Developer Services-Portal verwenden, konfigurieren und testen Sie SAML auf dem Portal, damit das Portal eine Verbindung zu Edge herstellen kann. Weitere Informationen finden Sie unter Developer Services-Portal für die Verwendung von SAML für die Kommunikation mit Edge konfigurieren.

Aktuelles Sicherheitsprofil ansehen

Sie können das Edge-Sicherheitsprofil aufrufen, um die aktuelle Konfiguration zu ermitteln und festzustellen, ob Basic Auth und SAML derzeit aktiviert sind. Verwenden Sie den folgenden Edge-Management-API-Aufruf auf dem Edge Management Server, um das aktuelle Sicherheitsprofil aufzurufen, das von Edge verwendet wird:

> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Wenn Sie SAML noch nicht konfiguriert haben, sieht die Antwort aus, was bedeutet, dass Basic Auth aktiviert ist:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Wenn Sie SAML bereits aktiviert haben, wird in der Ausgabe das Tag <ssoserver> angezeigt:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

Beachten Sie, dass für die Version mit aktiviertem SAML auch <BasicAuthEnabled>true</BasicAuthEnabled> angezeigt wird, was bedeutet, dass Basic Auth noch aktiviert ist.

Basic Auth deaktivieren

Verwenden Sie den folgenden Edge-Management-API-Aufruf auf dem Edge Management Server, um die Basisauthentifizierung zu deaktivieren. Beachten Sie, dass Sie als Nutzlast das im vorherigen Abschnitt zurückgegebene XML-Objekt übergeben. Der einzige Unterschied besteht darin, dass Sie <BasicAuthEnabled>false</BasicAuthEnabled> festlegen:

> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Nachdem Sie Basic Auth deaktiviert haben, gibt jeder Edge-Management-API-Aufruf, der die Basic Auth-Anmeldedaten übergibt, den folgenden Fehler zurück:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Basic Auth wieder aktivieren

Wenn Sie die Basic Auth aus irgendeinem Grund erneut aktivieren müssen, müssen Sie die folgenden Schritte ausführen:

Achtung: Wenn Sie die Basisauthentifizierung wieder aktivieren, müssen Sie vorübergehend alle Authentifizierungen in Edge, einschließlich SAML, deaktivieren.

  1. Melden Sie sich bei einem beliebigen Edge-ZooKeeper-Knoten an.
  2. Führen Sie das folgende Bash-Skript aus, um alle Sicherheitsmaßnahmen zu deaktivieren:
    Achtung: In diesem Schritt wird die gesamte Authentifizierung in Edge, einschließlich SAML, deaktiviert.

    #! /bin/bash
    /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
    set /system/securityprofile <SecurityProfile></SecurityProfile>
    Beenden
    EOF

    Die Ausgabe wird im folgenden Format angezeigt:
    Verbindung zu localhost:2181
    Willkommen bei ZooKeeper!
    JLine-Unterstützung ist aktiviert
    WATCHER::
    WatchedEvent state:SyncConnected type:None path:null
    [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile>
    cZxid = 0x89
    ...
    [zk: localhost:2181(CONNECTED) 1] quit
    Wird beendet...
  3. Aktivieren Sie Basic Auth und SAML-Authentifizierung wieder:

    > curl -H "Content-Type: application/xml"
    http://localhost:8080/v1/securityprofile> -u sysAdminEmail:pWord -d
    '<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    <UserAccessControl enabled="true">
    <SSOServer >




    Sie können jetzt wieder Basic Auth verwenden.