Edge for Private Cloud 4.18.01 sürümü
Edge'de SAML'yi etkinleştirdikten sonra Temel Kimlik Doğrulama'yı devre dışı bırakabilirsiniz. Ancak, Temel Kimlik Doğrulama'yı devre dışı bırakmadan önce:
- Sistem yöneticileri dahil olmak üzere tüm Edge kullanıcılarını SAML IDP'nize eklediğinizden emin olun.
- Edge kullanıcı arayüzü ve Edge Management API'de SAML kimlik doğrulamasını kapsamlı bir şekilde test ettiğinizden emin olun.
- Ayrıca API BaaS kullanıyorsanız SAML'yi API BaaS üzerinde yapılandırın ve test edin. API BaaS için SAML'yi etkinleştirme başlıklı makaleyi inceleyin.
- Geliştirici Hizmetleri portalını kullanıyorsanız portalın Edge'e bağlanabildiğinden emin olmak için portalda SAML'yi yapılandırıp test edin. Edge ile iletişim kurmak için SAML'yi kullanmak üzere Geliştirici Hizmetleri portalını yapılandırma bölümüne bakın.
Geçerli güvenlik profilini görüntüleme
Temel Kimlik Doğrulama ve SAML'nin etkin olup olmadığını belirlemek için geçerli yapılandırmayı belirlemek amacıyla Edge güvenlik profilini görüntüleyebilirsiniz. Edge tarafından kullanılan geçerli güvenlik profilini görüntülemek için Uç Yönetim Sunucusu'nda aşağıdaki Edge Management API çağrısını kullanın:
> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
SAML'yi henüz yapılandırmadıysanız yanıt aşağıda gösterildiği gibidir, yani Temel Kimlik Doğrulama etkindir:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
SAML'yi zaten etkinleştirdiyseniz çıkışta <ssoserver> etiketini görürsünüz:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
SAML'nin etkin olduğu sürümün de Temel Kimlik Doğrulama'nın hâlâ etkin olduğu anlamına gelen <BasicAuthEnabled>true</BasicAuthEnabled> değerini gösterdiğine dikkat edin.
Temel Yetkilendirmeyi Devre Dışı Bırak
Temel Kimlik Doğrulama'yı devre dışı bırakmak için Uç Yönetim Sunucusu'nda aşağıdaki Edge Management API çağrısını kullanın. Önceki bölümde döndürülen XML nesnesini yük olarak ilettiğinizi unutmayın. Tek fark, <BasicAuthEnabled>false</BasicAuthEnabled>'ı ayarlamanızdır:
> curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Temel Kimlik Doğrulama'yı devre dışı bıraktıktan sonra, Temel Kimlik Doğrulama kimlik bilgilerini ileten tüm Edge yönetimi API çağrıları aşağıdaki hatayı döndürür:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
Temel Kimlik Doğrulamayı Yeniden Etkinleştir
Herhangi bir nedenle Temel Kimlik Doğrulama'yı yeniden etkinleştirmeniz gerekirse aşağıdaki adımları uygulamalısınız:
Dikkat: Temel Kimlik Doğrulama'yı yeniden etkinleştirmenin bir parçası olarak, SAML dahil olmak üzere Edge'de tüm kimlik doğrulamasını geçici olarak devre dışı bırakmanız gerekir.
- Herhangi bir Edge ZooKeeper düğümüne giriş yapın.
- Tüm güvenliği kapatmak için aşağıdaki bash komut dosyasını çalıştırın:
Dikkat: Bu adım, SAML dahil olmak üzere Edge'de tüm kimlik doğrulama işlemlerini devre dışı bırakır.
#! /bin/bash
/opt/../..//Apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOFset /system/securityprofile <SecurityProfile></SecurityProfile>çıkEOF
Çıkışı şu şekilde görürsünüz:
Connecting to localhost:2181
ZooKeeper'a hoş geldiniz
JLine desteği etkinleştirildi
İZLEYİCİ::
WatchedEvent state:SyncConnected type:None path:null[zk: localhost:2181(CONNECTED) 0] şunu ayarla: /system/securityprofile <SecurityProfile></SecurityProfile>cZxid = 0x89...
[zk: localhost:2181(CONNECTED) 1] çık
Çıkılıyor... - Temel Kimlik Doğrulama ve SAML kimlik doğrulamasını yeniden etkinleştirin:
> curl -H "Content-Type: application/xml>
Artık Basic Auth'u tekrar kullanabilirsiniz.
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<ProfileSecurity enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<UserAccessControl enabled="true">
<UserAccessControl enabled="true">
<SSO>Server <true