Edge untuk Private Cloud v4.18.01
Setelah mengaktifkan SAML di Edge, Anda dapat menonaktifkan Basic Auth. Namun, sebelum Anda menonaktifkan Autentikasi Dasar:
- Pastikan Anda telah menambahkan semua pengguna Edge, termasuk administrator sistem, ke IDP SAML.
- Pastikan Anda telah menguji autentikasi SAML secara menyeluruh di UI Edge dan Edge Management API.
- Jika Anda juga menggunakan API BaaS, konfigurasikan dan uji SAML pada API BaaS. Lihat Mengaktifkan SAML untuk API BaaS.
- Jika Anda menggunakan portal Layanan Developer, konfigurasikan dan uji SAML di portal untuk memastikan portal tersebut dapat terhubung ke Edge. Lihat Mengonfigurasi portal Layanan Developer untuk menggunakan SAML untuk berkomunikasi dengan Edge.
Melihat profil keamanan saat ini
Anda dapat melihat profil keamanan Edge untuk menentukan konfigurasi saat ini guna menentukan apakah Basic Auth dan SAML saat ini diaktifkan. Gunakan panggilan API pengelolaan Edge berikut di Server Pengelolaan Edge untuk melihat profil keamanan saat ini yang digunakan oleh Edge:
> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Jika Anda belum mengonfigurasi SAML, responsnya akan ditunjukkan seperti di bawah ini, yang berarti Basic Auth diaktifkan:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
Jika sudah mengaktifkan SAML, Anda akan melihat tag <ssoserver> di output:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
Perhatikan bahwa versi dengan SAML yang diaktifkan juga menampilkan <BasicAuthEnabled>true</BasicAuthEnabled> yang berarti Basic Auth masih diaktifkan.
Nonaktifkan Auth Dasar
Gunakan panggilan API pengelolaan Edge berikut di Server Edge Management untuk menonaktifkan Basic Auth. Perhatikan, Anda meneruskan objek XML yang dikembalikan di bagian sebelumnya sebagai payload. Satu-satunya perbedaan adalah Anda menetapkan <BasicAuthEnabled>false</BasicAuthEnabled>:
> curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Setelah Anda menonaktifkan Basic Auth, panggilan API pengelolaan Edge yang meneruskan kredensial Basic Auth akan menampilkan error berikut:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
Aktifkan kembali Basic Auth
Jika karena alasan apa pun Anda harus mengaktifkan kembali Basic Auth, Anda harus melakukan langkah-langkah berikut:
Perhatian: Sebagai bagian dari pengaktifan kembali Basic Auth, Anda harus menonaktifkan semua autentikasi di Edge, termasuk SAML untuk sementara.
- Login ke node Edge ZooKeeper mana pun.
- Jalankan skrip bash berikut untuk menonaktifkan semua keamanan:
Perhatian: Langkah ini menonaktifkan semua autentikasi di Edge, termasuk SAML.
#! /bin/bash
/opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOFset /system/securityprofile <SecurityProfile></SecurityProfile>keluarEOF
Anda akan melihat output dalam bentuk:
Menghubungkan ke localhost:2181
Selamat datang di ZooKeeper!
Dukungan JLine diaktifkan
WATCHER::
WatchedEvent state:Syncconnected type:None path:null[zk: localhost:2181(CONNECTED) 0] tetapkan /system/securityprofile <SecurityProfile></SecurityProfile>cZxid = 0x89...
[zk: localhost:2181(CONNECTED) 1] keluar
Keluar... - Aktifkan kembali autentikasi Basic Auth dan SAML:
> curl -H "Content-Type: application/xml"
Sekarang Anda dapat menggunakan Basic Auth lagi.
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
Point <SSOServer Enabled>