Private Cloud v4.18.01 專用 Edge
啟用 Edge 上的 SAML 後,即可停用基本驗證。但在您之前 停用基本驗證:
- 請確認您已將所有 Edge 使用者 (包括系統管理員) 新增至您的 SAML IdP
- 確認您已在 Edge UI 和 Edge 管理上全面測試 SAML 驗證 也能使用 Google Cloud CLI 或 Compute Engine API
- 如果您也使用 API BaaS,請在 API BaaS 上設定及測試 SAML。請參閱為 API BaaS 啟用 SAML。
- 如果您使用「開發人員服務」入口網站,請在入口網站設定並測試 SAML, 確保入口網站可連線至 Edge。如需說明,請參閱設定 「開發人員服務」入口網站,使用 SAML 與 Edge 通訊。
查看目前的安全性設定檔
您可以查看邊緣安全性設定檔來判斷目前的設定,以判斷目前的設定是否 目前已啟用基本驗證和 SAML。在 Edge 上使用下列 Edge Management API 呼叫 查看 Edge 所使用的目前安全性設定檔:
> curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
如果您尚未設定 SAML,回應如下,表示「基本驗證」 已啟用:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
如果您已啟用 SAML,就會在輸出內容中看到 <ssoserver> 標記:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
請注意,啟用 SAML 的版本也會顯示 <BasicAuthEnabled>true</BasicAuthEnabled> 代表「基本驗證」為
停用基本驗證
在 Edge Management Server 上,使用下列 Edge Management API 呼叫來停用基本版 驗證請注意,您會以酬載的形式傳送上一節中傳回的 XML 物件。只有 差別在於 <BasicAuthEnabled>false</BasicAuthEnabled>:
> curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
停用基本驗證後,所有通過基本驗證憑證的 Edge Management API 呼叫都會 會傳回下列錯誤:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
重新啟用基本驗證
如果您因故必須重新啟用基本驗證,則必須執行下列步驟:
注意:當您重新啟用「基本驗證」時,必須暫時停用「基本驗證」 Edge 上的 all 驗證,包括 SAML。
- 登入任何 Edge ZooKeeper 節點。
- 執行下列 bash 指令碼,關閉所有安全防護機制:
注意:這個步驟會停用 Edge 上的所有驗證,包括 SAML。
#!/bin/bash
/opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF設定 /system/securityprofile <SecurityProfile></SecurityProfile>結束
EOF
輸出內容的格式為:
連線至 localhost:2181
歡迎使用 ZooKeeper!
已啟用 JLine 支援
智慧手錶:
WatchedEvent 狀態:SyncConnected type:None path:null[zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile>。cZxid = 0x89...
[zk: localhost:2181(CONNECTED) 1] 結束
退出中... - 重新啟用基本驗證和 SAML 驗證:
>curl -H「Content-Type: application/xml"
個人中心 現在可再次使用基本驗證
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
<SecurityProfile enabled="true"name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'