為 API BaaS 啟用 SAML

私有雲 v4.18.01 的邊緣

啟用 Edge 的 SAML 後,即可為 API BaaS 啟用 SAML。您必須已安裝並設定 Edge Management Server 節點上的 Edge SSO 模組,才能使用 API BaaS 的 SAML 支援服務。

為 API BaaS 啟用 SAML 的一般程序如下:

  1. 按照「為 Edge 的 SAML 安裝與設定」的說明設定 Edge 上的 SAML。
  2. 安裝 API BaaS 並確認您安裝的運作正常。包括建立 BaaS 機構。請參閱「API BaaS 安裝」一文。
  3. 針對所有現有的 BaaS 使用者 (包括 BaaS 系統管理員和 BaaS 機構管理員),在 IDP 中建立對應的使用者。IDP 中的使用者電子郵件地址必須與用來建立 BaaS 使用者的電子郵件地址相同。
  4. 在 API BaaS 上設定 SAML。

在 API BaaS 上設定 SAML

如要在 API BaaS 上設定 SAML,您必須依序在 BaaS 入口網站和 Stack 上啟用 SAML。

首先,請建立設定檔來設定 SAML:

# IP address of BaaS Portal
IP1=11.111.11.111

# IP address of apigee-sso node
IP2=22.222.22.222

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# The name of the OAuth client used to connect to apigee-sso.
# The default client name is "baas". 
BAAS_SSO_CLIENT_NAME=baas

# If set, the existing BAAS client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you reconfigure SAML and change the value of 
# any of the BAAS_* properties.
BAAS_SSO_CLIENT_OVERWRITE=y

# API BaaS Portal properties:
BAAS_SSO_ENABLED=y

# Comma separated list of URLs for the BAAS portal, 
# in the format:  http_or_https://IP_or_hostname_of_UI:9000. 
# You can have multiple URLs when you have multiple installations
# of the BAAS portal or you have multiple data centers.
BAAS_PUBLIC_URIS=http_or_https://IP_or_hostname_of_BAAS:9000
BAAS_SSO_REGISTERED_PUBLIC_URIS=$BAAS_PUBLIC_URIS

# API BaaS Stack properties
BAAS_SSO_ENABLED=y

如何設定 API BaaS 以啟用 SAML 支援:

  1. 在 BaaS 入口網站上執行下列指令,設定 SAML:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal setup-sso -f samlConfigFile

    ,其中 samlConfigFile 是 SAML 設定檔。
  2. 執行下列指令,重新啟動入口網站:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal restart
  3. 執行下列指令,設定所有 BaaS 堆疊節點上的 SAML:
    > /opt/apigee/apigee-service/bin/apigee-service baas-usergridconfigure-sso -f samlConfigFile

如果之後要變更這些值,請更新設定檔並再次執行這些步驟。

在 API BaaS 上停用 SAML

如何在 API BaaS 上停用 SAML:

  1. 編輯用來設定 SAM 的設定檔:
    BAAS_SSO_ENABLED=n
  2. 設定 BaaS 入口網站:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portalconfigure-sso -f configFile

    注意:如果使用者從未設定 BaaS 密碼,必須在登入頁面上選取重設密碼連結才能設定新密碼。
  3. 執行下列指令,重新啟動入口網站:
    > /opt/apigee/apigee-service/bin/apigee-service baas-portal restart
  4. 設定 BaaS 堆疊:
    > /opt/apigee/apigee-service/bin/apigee-service baas-usergridconfigure-sso -f configFile