Edge para nuvem privada v4.18.01
Depois de ativar o SAML no Edge, você poderá desativar a autenticação básica. No entanto, antes de desativar a autenticação básica:
- Verifique se você adicionou todos os usuários do Edge, inclusive os administradores do sistema, ao IdP SAML.
- Teste a autenticação SAML na IU e na API Edge Management.
- Se você também estiver usando a API BaaS, configure e teste o SAML nela. Consulte Como ativar o SAML para o BaaS da API.
- Se você estiver usando o portal de Serviços para Desenvolvedores, configure e teste o SAML no portal para garantir que ele possa se conectar ao Edge. Consulte Como configurar o portal de serviços para desenvolvedores para usar SAML na comunicação com o Edge.
Como visualizar o perfil de segurança atual
É possível consultar o perfil de segurança de borda para determinar a configuração atual e determinar se a autenticação básica e o SAML estão ativados. Use a seguinte chamada de API de gerenciamento de borda no servidor de gerenciamento de borda para visualizar o perfil de segurança atual usado pelo Edge:
> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Se você ainda não configurou o SAML, a resposta será conforme mostrado abaixo, o que significa que a autenticação básica está ativada:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
Se você já tiver ativado o SAML, a tag <ssoserver> será exibida na saída:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
Observe que a versão com o SAML ativado também mostra <BasicAuthEnabled>true</BasicAuthEnabled>, o que significa que a autenticação básica ainda está ativada.
Desativar a autenticação básica
Use a seguinte chamada de API de gerenciamento de borda no servidor de gerenciamento de borda para desativar a autenticação básica. Observe que você transmite como payload o objeto XML retornado na seção anterior. A única diferença é que você define <BasicAuthEnabled>false</BasicAuthEnabled>:
> curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Depois que você desativar a Autenticação básica, qualquer chamada da API de gerenciamento do Edge que passar credenciais da Autenticação básica retornará o seguinte erro:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
Reativar a autenticação básica
Se por algum motivo você precisar reativar a autenticação básica, siga estas etapas:
Cuidado: como parte da reativação da autenticação básica, você precisa desativar temporariamente todas as autenticações no Edge, incluindo SAML.
- Faça login em qualquer nó do Edge ZooKeeper.
- Execute o seguinte script bash para desativar toda a segurança:
Cuidado: esta etapa desativa toda a autenticação no Edge, incluindo SAML.
#! /bin/bash
/opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOFset /system/securityprofile <SecurityProfile></SecurityProfile>sairEOF
Você verá a saída no formulário:
Conectando-se ao localhost:2181
Este é o ZooKeeper!
O suporte ao JLine está ativado
ASSISTENTE::
WatchedEvent state:SyncConnected type:None path:null[zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile>cZxid = 0x89...
[zk: localhost:2181(CONNECTED) 1] sair
Saindo... - Reativar a autenticação básica e a autenticação SAML:
> curl -H "Content-Type: application/xml"
Agora você pode usar a autenticação básica novamente.
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
Url <UserAccessControl enabled="true">PublicServerEnabled>PublicServer.true>
Url <SSOAccessControlEnabled>PublicServer.true