为 API BaaS 启用 SAML

Edge for Private Cloud v4.18.01

为 Edge 启用 SAML 后,您可以为 API BaaS 启用 SAML。若要为 API BaaS 提供 SAML 支持,您必须在边缘管理服务器节点上安装并配置边缘 SSO 模块。

为 API BaaS 启用 SAML 的一般流程如下:

  1. 按照为 Edge 安装和配置 SAML 中的说明在 Edge 上配置 SAML。
  2. 安装 API BaaS 并确保安装正常运行。这包括创建 BaaS 组织。请参阅 API BaaS 安装
  3. 对于所有现有的 BaaS 用户(包括 BaaS 系统管理员和 BaaS 组织管理员),请在 IDP 中创建相应的用户。IDP 中用户的电子邮件地址必须与创建 BaaS 用户时所用的电子邮件地址相同。
  4. 在 API BaaS 上配置 SAML。

在 API BaaS 上配置 SAML

如需在 API BaaS 上配置 SAML,您必须按顺序同时在 BaaS 门户和堆栈上启用 SAML。

您首先需要创建一个配置文件来配置 SAML:

# IP address of BaaS Portal
IP1=11.111.11.111

# IP address of apigee-sso node
IP2=22.222.22.222

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# The name of the OAuth client used to connect to apigee-sso.
# The default client name is "baas". 
BAAS_SSO_CLIENT_NAME=baas

# If set, the existing BAAS client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you reconfigure SAML and change the value of 
# any of the BAAS_* properties.
BAAS_SSO_CLIENT_OVERWRITE=y

# API BaaS Portal properties:
BAAS_SSO_ENABLED=y

# Comma separated list of URLs for the BAAS portal, 
# in the format:  http_or_https://IP_or_hostname_of_UI:9000. 
# You can have multiple URLs when you have multiple installations
# of the BAAS portal or you have multiple data centers.
BAAS_PUBLIC_URIS=http_or_https://IP_or_hostname_of_BAAS:9000
BAAS_SSO_REGISTERED_PUBLIC_URIS=$BAAS_PUBLIC_URIS

# API BaaS Stack properties
BAAS_SSO_ENABLED=y

如需配置 API BaaS 以启用 SAML 支持,请执行以下操作:

  1. 运行以下命令,以在 BaaS 门户上配置 SAML:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal configure-sso -f samlConfigFile


    其中 samlConfigFile 是 SAML 配置文件。
  2. 运行以下命令以重启门户:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal restart
  3. 运行以下命令,在所有 BaaS 堆栈节点上配置 SAML:
    > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure-sso -f samlConfigFile

如需稍后更改这些值,请更新配置文件并再次执行这些步骤。

在 API BaaS 上停用 SAML

如需在 API BaaS 上停用 SAML,请执行以下操作:

  1. 修改用于配置 SAM 的配置文件:
    BAAS_SSO_ENABLED=n
  2. 配置 BaaS 门户:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal configure-sso -f configFile

    注意:从未设置 BaaS 密码的用户必须在登录页面上选择重置密码链接才能设置新密码。
  3. 运行以下命令以重启门户:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal restart
  4. 配置 BaaS 堆栈:
    > /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure-sso -f configFile