Wyłączanie podstawowego uwierzytelniania na urządzeniu Edge

Edge for Private Cloud w wersji 4.18.01

Po włączeniu SAML w przeglądarce Edge możesz wyłączyć uwierzytelnianie podstawowe. Zanim jednak wyłączysz uwierzytelnianie podstawowe:

  • Sprawdź, czy do dostawcy tożsamości SAML dodano wszystkich użytkowników Edge, w tym administratorów systemu.
  • Sprawdź, czy uwierzytelnianie SAML zostało dokładnie przetestowane w interfejsie użytkownika Edge i interfejsie Edge Management API.
  • Jeśli korzystasz też z API BaaS, skonfiguruj i przetestuj SAML w API BaaS. Zobacz Włączanie SAML dla API BaaS.
  • Jeśli korzystasz z portalu usług dla programistów, skonfiguruj i przetestuj SAML w portalu, aby mieć pewność, że portal może połączyć się z Edge. Przeczytaj artykuł Konfigurowanie portalu usług dla programistów do komunikowania się z Edge przy użyciu SAML.

Wyświetlanie bieżącego profilu zabezpieczeń

Możesz wyświetlić profil zabezpieczeń brzegowych, aby określić bieżącą konfigurację i określić, czy uwierzytelnianie podstawowe i SAML są obecnie włączone. Aby wyświetlić bieżący profil zabezpieczeń używany przez Edge, użyj tego wywołania interfejsu Edge Management API na serwerze Edge:

> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Jeśli nie skonfigurowano jeszcze SAML, odpowiedź wygląda jak poniżej, co oznacza, że uwierzytelnianie podstawowe jest włączone:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Jeśli masz już włączony protokół SAML, zobaczysz w danych wyjściowych tag <ssoserver>:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

Zwróć uwagę, że wersja z włączoną obsługą SAML również wyświetla <BasicAuthEnabled>true</BasicAuthEnabled>, co oznacza, że uwierzytelnianie podstawowe jest nadal włączone.

Wyłącz uwierzytelnianie podstawowe

Aby wyłączyć uwierzytelnianie podstawowe, użyj podanego niżej wywołania interfejsu Edge Management API na serwerze zarządzania brzegowym. Pamiętaj, że jako ładunek przekazujesz obiekt XML zwrócony w poprzedniej sekcji. Jedyną różnicą jest ustawienie <BasicAuthEnabled>false</BasicAuthEnabled>:

> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Po wyłączeniu uwierzytelniania podstawowego każde wywołanie interfejsu Edge Management API, które przekazuje dane logowania podstawowego uwierzytelniania, zwraca ten błąd:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Włącz ponownie uwierzytelnianie podstawowe

Jeśli z jakiegoś powodu musisz ponownie włączyć uwierzytelnianie podstawowe, wykonaj te czynności:

Uwaga: podczas ponownego włączania uwierzytelniania podstawowego musisz tymczasowo wyłączyć uwierzytelnianie całe w Edge, w tym przez SAML.

  1. Zaloguj się w dowolnym węźle Edge ZooKeeper.
  2. Uruchom ten skrypt bash, aby wyłączyć wszystkie zabezpieczenia:
    Uwaga: ten krok spowoduje wyłączenie całego uwierzytelniania na serwerach brzegowych, w tym przez SAML.

    #! /bin/bash
    /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
    set /system/securityprofile> <SecurityProfile></SecurityProfile>
    zamknij
    EOF

    Dane wyjściowe wyświetlą się w formacie:
    Łączenie z adresem localhost:2181
    Witamy w ZooKeeper!
    Włączono obsługę JLine
    WATCHER::
    WatchedEvent state:SyncConnected type:None Path:null
    [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile>
    cZxid = 0x89
    ...
    [zk: localhost:2181(CONNECTED) 1] zamknij
    Kończę...
  3. Włącz ponownie uwierzytelnianie podstawowe i uwierzytelnianie SAML:

    > curl -H "Content-Type: application/xml"
    http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
    '<SecurityProfile enabled="true" name="securityprofile">
    Włączono <UserAccessUrlControl enabled="true">
    kenAccessUrlControl enabled="true">
    <SSOServer>




    Możesz już z powrotem korzystać z uwierzytelniania podstawowego.