Désactiver l'authentification de base sur Edge

Edge for Private Cloud v4.18.01

Après avoir activé SAML sur Edge, vous pouvez désactiver l'authentification de base. Toutefois, avant de désactiver l'authentification de base:

• Assurez-vous d'avoir ajouté tous les utilisateurs Edge, y compris les administrateurs système, à votre IdP SAML.
• Assurez-vous d'avoir testé minutieusement l'authentification SAML sur l'interface utilisateur Edge et l'API de gestion Edge.
• Si vous utilisez également l'API BaaS, configurez et testez SAML sur l'API BaaS. Voir Activer SAML pour l'API BaaS.
• Si vous utilisez le portail de services pour les développeurs, configurez et testez SAML sur le portail pour vous assurer qu'il peut se connecter à Edge. Consultez la section Configurer le portail des services pour les développeurs pour utiliser SAML afin de communiquer avec Edge.

Afficher le profil de sécurité actuel

Vous pouvez afficher le profil de sécurité Edge pour déterminer la configuration actuelle et déterminer si l'authentification de base et SAML sont activées. Utilisez l'appel d'API de gestion Edge suivant sur le serveur de gestion Edge pour afficher le profil de sécurité actuel utilisé par Edge:

> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Si vous n'avez pas encore configuré SAML, la réponse est la suivante, ce qui signifie que l'authentification de base est activée:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Si vous avez déjà activé SAML, le tag <ssoserver> apparaît dans le résultat:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

Notez que la version pour laquelle SAML est activé affiche également <BasicAuthEnabled>true</BasicAuthEnabled>, ce qui signifie que l'authentification de base est toujours activée.

Désactiver l'authentification de base

Utilisez l'appel d'API de gestion Edge suivant sur le serveur de gestion Edge pour désactiver l'authentification de base. Notez que vous transmettez l'objet XML renvoyé dans la section précédente en tant que charge utile. La seule différence est que vous définissez <BasicAuthEnabled>false</BasicAuthEnabled>:

> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Une fois que vous avez désactivé l'authentification de base, tout appel d'API de gestion Edge qui transmet des identifiants d'authentification de base renvoie l'erreur suivante:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Réactiver l'authentification de base

Si, pour une raison quelconque, vous devez réactiver l'authentification de base, procédez comme suit:

Attention: Dans le cadre de la réactivation de l'authentification de base, vous devez désactiver temporairement toutes les méthodes d'authentification sur Edge, y compris SAML.

1. Connectez-vous à n'importe quel nœud Edge ZooKeeper.
2. Exécutez le script bash suivant pour désactiver toute sécurité:
   Attention: Cette étape désactive toute authentification sur Edge, y compris SAML.
   
   #! /bin/bash
   
   /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
   set /system/securityprofile <SecurityProfile></SecurityProfile>
   Quitter
   EOF
   
   Le résultat s'affiche sous la forme suivante:
   Connexion à localhost:2181
   Bienvenue dans ZooKeeper !
   La prise en charge de JLine est activée
   WATCHER :
   
   WatchedEvent state:SyncConnected type:None path:null
   [zk: localhost:2181(CONNECTED) 0] définit /system/securityprofile <SecurityProfile></SecurityProfile>
   cZxid = 0x89
   ...
   [zk: localhost:2181(CONNECTED) 1] quitter
   Quitter...
3. Réactiver l'authentification de base et l'authentification SAML:
   

   > curl -H "Content-Type: application/xml"
   http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
   '<SecurityProfile enabled="true" name="securityprofile">
   <UserControl enabled="true">
   
   
   
   
   
   
   

   Vous pouvez à nouveau utiliser l'authentification de base.