Edge para la nube privada v4.18.01
Después de habilitar SAML en Edge, puedes inhabilitar la autenticación básica. Sin embargo, antes de inhabilitar la autenticación básica, ocurre lo siguiente:
- Asegúrate de haber agregado a todos los usuarios de Edge, incluidos los administradores del sistema, a tu IdP de SAML.
- Asegúrate de haber probado exhaustivamente la autenticación de SAML en la IU de Edge y en la API de administración de Edge.
- Si también usas el BaaS de API, configura y prueba SAML en el BaaS de API. Consulta Habilita SAML para BaaS de API.
- Si usas el portal de Servicios para desarrolladores, configura y prueba SAML en el portal para asegurarte de que este pueda conectarse a Edge. Consulta Configura el portal de servicios para desarrolladores a fin de que use SAML para comunicarse con Edge.
Cómo ver el perfil de seguridad actual
Puedes ver el perfil de seguridad de Edge para determinar la configuración actual a fin de determinar si la autenticación básica y SAML están habilitados en este momento. Usa la siguiente llamada a la API de Edge Management en Edge Management Server para ver el perfil de seguridad actual que usa Edge:
> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Si aún no configuraste SAML, la respuesta es como se muestra a continuación, lo que significa que la autenticación básica está habilitada:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
Si ya habilitó SAML, verá la etiqueta <ssoserver> en el resultado:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
Ten en cuenta que la versión con SAML habilitado también muestra <BasicAuthEnabled>true</BasicAuthEnabled>, lo que significa que la autenticación básica sigue habilitada.
Inhabilitar la autenticación básica
Usa la siguiente llamada a la API de Edge Management en Edge Management Server para inhabilitar la autenticación básica. Ten en cuenta que debes pasar como carga útil el objeto XML que se mostró en la sección anterior. La única diferencia es que configuras <BasicAuthEnabled>false</BasicAuthEnabled>:
> curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Después de inhabilitar la autenticación básica, cualquier llamada a la API de Edge Management que pase las credenciales de autenticación básica mostrará el siguiente error:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
Volver a habilitar la autenticación básica
Si, por algún motivo, tienes que volver a habilitar la autenticación básica, debes seguir estos pasos:
Precaución: Como parte de la nueva habilitación de la autenticación básica, debes inhabilitar temporalmente toda la autenticación en Edge, incluido SAML.
- Accede a cualquier nodo de Edge ZooKeeper.
- Ejecuta la siguiente secuencia de comandos de Bash para desactivar toda la seguridad:
Precaución: Este paso inhabilita toda la autenticación en Edge, incluido SAML.
#! /bin/bash
/opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOFset /system/securityprofile>salirEOF
Verás el resultado con el siguiente formato:
Conéctate a localhost:2181
Te damos la bienvenida a ZooKeeper.
Se habilitó la compatibilidad con JLine
WATCHER::
WatchedEvent state:SyncConnected type:None path:null[zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile>cZxid = 0x89...
[zk: localhost:2181(CONNECTED) 1] salir
Saliendo... - Vuelve a habilitar la autenticación básica y la autenticación SAML:
> curl -H "Content-Type: application/xml"
Ahora puedes volver a usar la autenticación básica.
http://localhost:8080/v1/securityprofile