Inhabilita la autenticación básica en Edge

Edge for Private Cloud v4.18.01

Después de habilitar SAML en Edge, puedes inhabilitar la autenticación básica. Sin embargo, antes de que inhabilitar la autenticación básica:

• Asegúrate de haber agregado a todos los usuarios de Edge, incluidos los administradores del sistema, a tu SAML del IdP
• Asegúrate de haber probado minuciosamente la autenticación de SAML en la IU y la administración de Edge en la API de Cloud.
• Si también usas los BaaS de APIs, configura y prueba SAML en los BaaS de APIs. Consulta Habilita SAML para los BaaS de las APIs.
• Si estás usando el portal de Servicios para desarrolladores, configura y prueba SAML en el portal para garantizar que el portal pueda conectarse a Edge. Consulta Cómo configurar el Portal de Servicios para desarrolladores en el que se usa SAML para comunicarse con Edge.

Cómo ver el perfil de seguridad actual

Puedes ver el perfil de seguridad de Edge para determinar la configuración actual y determinar si La autenticación básica y SAML están habilitadas en este momento. Usa la siguiente llamada a la API de Edge Management en Edge Management Server para ver el perfil de seguridad actual que usa Edge:

> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Si aún no configuraste SAML, la respuesta es la que se muestra a continuación, es decir, la autenticación básica es habilitado:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Si ya habilitaste SAML, verás la etiqueta <ssoserver> en el resultado:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

Observa que la versión con SAML habilitado también muestra <BasicAuthEnabled>true</BasicAuthEnabled> significa que la autenticación básica es sigue habilitado.

Inhabilitar la autenticación básica

Usa la siguiente llamada a la API de Edge Management en el servidor de administración perimetral para inhabilitar la versión Básica Autenticación. Ten en cuenta que pasas como carga útil el objeto XML que se mostró en la sección anterior. El único la diferencia es que estableces <BasicAuthEnabled>false</BasicAuthEnabled>:

> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Después de inhabilitar la autenticación básica, cualquier llamada a la API de administración perimetral que pase las credenciales de autenticación básica devuelve el siguiente error:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Volver a habilitar la autenticación básica

Si por algún motivo tienes que volver a habilitar la autenticación básica, debes realizar los siguientes pasos:

Precaución: Como parte de volver a habilitar la autenticación básica, debes inhabilitar temporalmente toda la autenticación en Edge, incluida SAML.

1. Accede a cualquier nodo de ZooKeeper de Edge.
2. Ejecuta la siguiente secuencia de comandos de Bash para desactivar toda la seguridad:
   Precaución: En este paso, se inhabilita toda la autenticación en Edge, incluido SAML.
   
   /bin/bash
   
   /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
   set /system/securityprofile &lt;SecurityProfile&gt;&lt;/SecurityProfile&gt;
   salir
   EOF
   
   Verás un resultado en el siguiente formato:
   Conéctate a localhost:2181
   Te damos la bienvenida a ZooKeeper
   Se habilitó la compatibilidad con JLine
   REVISOR:
   
   Estado de WatchedEvent:SyncConnected type:None path:null
   [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile>
   cZxid = 0x89
   ...
   [zk: localhost:2181(CONNECTED) 1] salir
   Saliendo...
3. Vuelve a habilitar la autenticación básica y la autenticación SAML:
   

   &gt; curl -H “Content-Type: application/xml&quot;
   http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
   '<SecurityProfile enabled="true" name=&quot;securityprofile&quot;&gt;
   <UserAccessControl enabled="true">
   &lt;SSOServer&gt;
   . &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt;
   &lt;PublicKeyEndPoint&gt;/token_key&lt;/PublicKeyEndPoint&gt;
   &lt;ServerUrl&gt;http://35.197.37.220:9099&lt;/ServerUrl&gt;
   &lt;/SSOServer&gt;
   </UserAccessControl>
   </SecurityProfile>'

   Tú ahora puede volver a usar la autenticación básica.