Désactiver l'authentification de base sur Edge

Edge pour Private Cloud v4.18.01

Après avoir activé SAML sur Edge, vous pouvez désactiver l'authentification de base. Cependant, avant de désactivez l'authentification de base:

• Assurez-vous d'avoir ajouté tous les utilisateurs Edge, y compris les administrateurs système, à votre IdP.
• Assurez-vous d'avoir testé minutieusement l'authentification SAML sur l'interface utilisateur Edge et la gestion Edge API.
• Si vous utilisez également l'API BaaS, configurez et testez SAML sur l'API BaaS. Consultez la page Activer SAML pour l'API BaaS.
• Si vous utilisez le portail de services pour les développeurs, configurez et testez SAML sur le portail pour vous assurer que le portail peut se connecter à Edge. Reportez-vous à la section Configuration du Portail de services pour les développeurs permettant d'utiliser SAML pour communiquer avec Edge

Afficher le profil de sécurité actuel

Vous pouvez afficher le profil de sécurité Edge pour déterminer la configuration actuelle afin de déterminer si L'authentification de base et SAML sont actuellement activés. Utilisez l'appel d'API de gestion Edge suivant sur Edge Serveur de gestion pour afficher le profil de sécurité actuel utilisé par Edge:

> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Si vous n'avez pas encore configuré SAML, la réponse se présente comme suit, ce qui signifie que l'authentification de base est activé:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Si vous avez déjà activé SAML, le tag <ssoserver> apparaît dans le résultat:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

Notez que la version pour laquelle SAML est activé <BasicAuthEnabled>true</BasicAuthEnabled> signifie que l'authentification de base est toujours activées.

Désactiver l'authentification de base

Utilisez l'appel d'API de gestion Edge suivant sur le serveur de gestion Edge pour désactiver Basic Authentification Notez que vous transmettez en tant que charge utile l'objet XML renvoyé à la section précédente. La seule est que vous définissez <BasicAuthEnabled>false</BasicAuthEnabled>:

> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Après avoir désactivé l'authentification de base, tout appel d'API de gestion Edge qui transmet les identifiants de l'authentification de base renvoie l'erreur suivante:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Réactiver l'authentification de base

Si, pour une raison quelconque, vous devez réactiver l'authentification de base, procédez comme suit:

Attention: Lorsque vous réactivez l'authentification de base, vous devez désactiver temporairement toutes l'authentification sur Edge, y compris SAML.

1. Connectez-vous à n'importe quel nœud Edge ZooKeeper.
2. Exécutez le script bash suivant pour désactiver toutes les fonctionnalités de sécurité:
   Attention: Cette étape désactive toutes les authentifications sur Edge, y compris SAML.
   
   #! /bin/bash
   
   /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
   set /system/securityprofile &lt;SecurityProfile&gt;&lt;/SecurityProfile&gt;
   quitter
   Fin de l'activité
   
   Le résultat se présente sous la forme suivante:
   Connexion à localhost:2181
   Bienvenue dans ZooKeeper !
   Compatibilité JLine activée
   SPECTATEURS :
   
   État de l'événement "WatchedEvent:SyncConnected" type:None path:null
   [zk: localhost:2181(CONNECTED) 0] définit /system/securityprofile <SecurityProfile></SecurityProfile>
   cZxid = 0x89
   ...
   [zk: localhost:2181(CONNECTED) 1] quit
   Abandon...
3. Réactiver l'authentification de base et l'authentification SAML:
   

   &gt; curl -H "Content-Type: application/xml&quot;
   http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
   <SecurityProfile enabled="true" name=&quot;securityprofile&quot;&gt;
   <ph type="x-smartling-placeholder"></ph> <UserAccessControl enabled="true">
   <ph type="x-smartling-placeholder"></ph> &lt;SSOServer&gt;
   &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt;
   <ph type="x-smartling-placeholder"></ph> &lt;PublicKeyEndPoint&gt;/token_key&lt;/PublicKeyEndPoint&gt;
   <ph type="x-smartling-placeholder"></ph> &lt;ServerUrl&gt;http://35.197.37.220:9099&lt;/ServerUrl&gt;
   <ph type="x-smartling-placeholder"></ph> &lt;/SSOServer&gt;
   </UserAccessControl>
   </SecurityProfile>"

   Toi peut à nouveau utiliser l'authentification de base.