Edge for Private Cloud Version 4.18.01
Nachdem Sie SAML in Edge aktiviert haben, können Sie die Basisauthentifizierung deaktivieren. Bevor Sie jedoch die Basisauthentifizierung deaktivieren, müssen Sie Folgendes tun:
- Achten Sie darauf, dass Sie Ihrem SAML-IdP alle Edge-Nutzer, einschließlich Systemadministratoren, hinzugefügt haben.
- Prüfen Sie, ob Sie die SAML-Authentifizierung auf der Edge-Benutzeroberfläche und der Edge Management API gründlich getestet haben.
- Wenn Sie auch API BaaS verwenden, konfigurieren und testen Sie SAML über API BaaS. Siehe SAML für API BaaS aktivieren.
- Wenn Sie das Developer Services-Portal verwenden, konfigurieren und testen Sie SAML auf dem Portal, damit das Portal eine Verbindung zu Edge herstellen kann. Weitere Informationen finden Sie unter Developer Services-Portal für die Verwendung von SAML für die Kommunikation mit Edge konfigurieren.
Aktuelles Sicherheitsprofil ansehen
Sie können das Edge-Sicherheitsprofil aufrufen, um die aktuelle Konfiguration zu ermitteln und festzustellen, ob Basic Auth und SAML derzeit aktiviert sind. Verwenden Sie den folgenden Edge-Management-API-Aufruf auf dem Edge Management Server, um das aktuelle Sicherheitsprofil aufzurufen, das von Edge verwendet wird:
> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Wenn Sie SAML noch nicht konfiguriert haben, sieht die Antwort aus, was bedeutet, dass Basic Auth aktiviert ist:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
Wenn Sie SAML bereits aktiviert haben, wird in der Ausgabe das Tag <ssoserver> angezeigt:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
Beachten Sie, dass für die Version mit aktiviertem SAML auch <BasicAuthEnabled>true</BasicAuthEnabled> angezeigt wird, was bedeutet, dass Basic Auth noch aktiviert ist.
Basic Auth deaktivieren
Verwenden Sie den folgenden Edge-Management-API-Aufruf auf dem Edge Management Server, um die Basisauthentifizierung zu deaktivieren. Beachten Sie, dass Sie als Nutzlast das im vorherigen Abschnitt zurückgegebene XML-Objekt übergeben. Der einzige Unterschied besteht darin, dass Sie <BasicAuthEnabled>false</BasicAuthEnabled> festlegen:
> curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Nachdem Sie Basic Auth deaktiviert haben, gibt jeder Edge-Management-API-Aufruf, der die Basic Auth-Anmeldedaten übergibt, den folgenden Fehler zurück:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
Basic Auth wieder aktivieren
Wenn Sie die Basic Auth aus irgendeinem Grund erneut aktivieren müssen, müssen Sie die folgenden Schritte ausführen:
Achtung: Wenn Sie die Basisauthentifizierung wieder aktivieren, müssen Sie vorübergehend alle Authentifizierungen in Edge, einschließlich SAML, deaktivieren.
- Melden Sie sich bei einem beliebigen Edge-ZooKeeper-Knoten an.
- Führen Sie das folgende Bash-Skript aus, um alle Sicherheitsmaßnahmen zu deaktivieren:
Achtung: In diesem Schritt wird die gesamte Authentifizierung in Edge, einschließlich SAML, deaktiviert.
#! /bin/bash
/opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOFset /system/securityprofile <SecurityProfile></SecurityProfile>BeendenEOF
Die Ausgabe wird im folgenden Format angezeigt:
Verbindung zu localhost:2181
Willkommen bei ZooKeeper!
JLine-Unterstützung ist aktiviert
WATCHER::
WatchedEvent state:SyncConnected type:None path:null[zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile>cZxid = 0x89...
[zk: localhost:2181(CONNECTED) 1] quit
Wird beendet... - Aktivieren Sie Basic Auth und SAML-Authentifizierung wieder:
> curl -H "Content-Type: application/xml"
Sie können jetzt wieder Basic Auth verwenden.
http://localhost:8080/v1/securityprofile> -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<UserAccessControl enabled="true">
<SSOServer >