Disattivazione di Auth di base su Edge

Edge per Private Cloud v4.18.01

Dopo aver attivato SAML su Edge, puoi disattivare l'autenticazione di base. Tuttavia, prima di disabilitare l'autenticazione di base:

Visualizzazione del profilo di sicurezza attuale

Puoi visualizzare il profilo di sicurezza perimetrale per determinare la configurazione attuale e determinare se l'autenticazione di base e SAML sono attualmente abilitati. Utilizza la seguente chiamata API Edge Management su Edge Management Server per visualizzare il profilo di sicurezza attuale utilizzato da Edge:

> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Se non hai ancora configurato SAML, la risposta è mostrata di seguito, a indicare che l'autenticazione di base è abilitata:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Se hai già attivato SAML, nell'output verrà visualizzato il tag <ssoserver>:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

Tieni presente che la versione con SAML abilitato mostra anche <BasicAuthEnabled>true</BasicAuthEnabled>, a indicare che l'autenticazione di base è ancora attiva.

Disattiva autenticazione di base

Utilizza la seguente chiamata API Edge Management su Edge Management Server per disabilitare l'autenticazione di base. Tieni presente che passi come payload l'oggetto XML restituito nella sezione precedente. L'unica differenza è che imposti <BasicAuthEnabled>false</BasicAuthEnabled>:

> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Dopo aver disabilitato l'autenticazione di base, qualsiasi chiamata API di gestione perimetrale che passa le credenziali di autenticazione di base restituisce il seguente errore:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Riattiva autenticazione di base

Se per qualsiasi motivo devi riattivare l'autenticazione di base, procedi nel seguente modo:

Attenzione: durante la riattivazione dell'autenticazione di base, devi disattivare temporaneamente tutte le autenticazioni su Edge, incluso SAML.

  1. Accedi a qualsiasi nodo Edge ZooKeeper.
  2. Esegui il seguente script bash per disattivare tutta la sicurezza:
    Attenzione: questo passaggio disabilita tutte le autenticazioni su Edge, incluso SAML.

    #! /bin/bash
    /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
    set /system/securityprofile <SecurityProfile></SecurityProfile>
    esci
    EOF

    L'output verrà visualizzato nel modulo:
    Connessione a localhost:2181
    Ti diamo il benvenuto in ZooKeeper!
    Il supporto di JLine è attivato
    WATCHER::
    WatchedEvent state:SyncConnetti type:None path:null
    [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile>
    cZxid = 0x89
    ...
    [zk: localhost:2181(CONNECTED) 1] esci
    Uscita in corso...
  3. Riattiva autenticazione di base e autenticazione SAML:

    > curl -H "Content-Type: application/xml"
    http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
    '<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    <SSOServer





    Ora puoi utilizzare di nuovo l'autenticazione di base.