Tắt xác thực cơ bản trên Edge

Edge cho đám mây riêng tư phiên bản 4.18.01

Sau khi bật SAML trên Edge, bạn có thể tắt tính năng Xác thực cơ bản. Tuy nhiên, trước khi bạn tắt tính năng Xác thực cơ bản:

• Đảm bảo rằng bạn đã thêm tất cả người dùng Edge (bao gồm cả quản trị viên hệ thống) vào nhà cung cấp danh tính (IDP) SAML.
• Hãy đảm bảo rằng bạn đã kiểm tra kỹ lưỡng quy trình xác thực SAML trên giao diện người dùng Edge và API quản lý Edge.
• Nếu bạn cũng đang sử dụng API BaaS, hãy định cấu hình và thử nghiệm SAML trên API BaaS. Xem phần Bật SAML cho API BaaS.
• Nếu bạn đang sử dụng cổng Dịch vụ dành cho nhà phát triển, hãy định cấu hình và kiểm tra SAML trên cổng để đảm bảo rằng cổng thông tin này có thể kết nối với Edge. Xem phần Định cấu hình cổng Dịch vụ dành cho nhà phát triển để dùng SAML để giao tiếp với Edge.

Xem hồ sơ bảo mật hiện tại

Bạn có thể xem hồ sơ bảo mật của Edge để xác định cấu hình hiện tại nhằm xác định xem bạn hiện đã bật tính năng Xác thực cơ bản và SAML hay chưa. Sử dụng lệnh gọi API quản lý Edge sau đây trên Máy chủ quản lý Edge để xem hồ sơ bảo mật hiện tại mà Edge sử dụng:

> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Nếu bạn chưa định cấu hình SAML, thì phản hồi sẽ có dạng như dưới đây, nghĩa là tính năng Xác thực cơ bản đã được bật:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Nếu đã bật SAML, bạn sẽ thấy thẻ <ssoserver> trong kết quả:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

Lưu ý rằng phiên bản đã bật SAML cũng sẽ hiện <BasicAuthEnabled>true</BasicAuthEnabled>, nghĩa là vẫn bật tính năng Xác thực cơ bản.

Tắt tính năng xác thực cơ bản

Sử dụng lệnh gọi API quản lý Edge sau đây trên Máy chủ quản lý cạnh để tắt tính năng Xác thực cơ bản. Lưu ý rằng bạn truyền dưới dạng tải trọng mà đối tượng XML đã trả về trong phần trước. Điểm khác biệt duy nhất là bạn đặt giá trị <BasicAuthEnabled>false</BasicAuthEnabled>:

> curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Sau khi bạn tắt tính năng Xác thực cơ bản, mọi lệnh gọi API quản lý Edge chuyển thông tin xác thực cơ bản sẽ trả về lỗi sau:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Bật lại tính năng Xác thực cơ bản

Nếu phải bật lại tính năng Xác thực cơ bản vì bất kỳ lý do gì, bạn phải thực hiện các bước sau:

Thận trọng: Trong quá trình bật lại tính năng Xác thực cơ bản, bạn phải tạm thời tắt tất cả phương thức xác thực trên Edge, bao gồm cả SAML.

1. Đăng nhập vào bất kỳ nút Edge ZooKeeper nào.
2. Chạy tập lệnh bash sau để tắt toàn bộ tính năng bảo mật:
   Thận trọng: Bước này sẽ tắt tất cả các phương thức xác thực trên Edge, bao gồm cả SAML.
   
   #! /bin/bash
   
   /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
   set /system/securityprofile <SecurityProfile></SecurityProfile>
   thoát
   EOF
   
   Bạn sẽ thấy kết quả ở dạng:
   Kết nối với localhost:2181
   Chào mừng bạn đến với ZooKeeper!
   Đã bật chế độ hỗ trợ JLine
   NGƯỜI XEM::
   
   WatchedEvent state:SyncConnected type:None path:null
   [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile>
   cZxid = 0x89
   ...
   [zk: localhost:2181(CONNECTED) 1] thoát
   Đang thoát...
3. Bật lại tính năng xác thực cơ bản và xác thực SAML:
   

   > curl -H "Content-Type: application/xml"
   http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
   '<SecurityProfile enabled="true" name="securityprofile">
   <UserAccessServerControl</i trưng bày</true">true
   
   
   
   
   
   
   

   Bây giờ, bạn có thể sử dụng lại tính năng Xác thực cơ bản.