Edge для частного облака v4.18.01
Для установки и настройки модуля Edge SSO необходимо сначала создать два набора ключей и сертификатов TLS. Модуль Edge SSO использует TLS для защиты передачи информации в рамках процесса установления связи SAML с SAML IDP.
Примечание . По умолчанию модуль Edge SSO доступен через HTTP через порт 9099 узла, на котором он установлен. Вы можете включить TLS в модуле Edge SSO. Для этого вам необходимо создать третий набор ключей и сертификатов TLS, используемый Tomcat для поддержки TLS. Дополнительные сведения см. в разделе Настройка apigee-sso для доступа по HTTPS .
Создайте ключи и сертификаты TLS.
Приведенные ниже шаги создают самозаверяющие сертификаты, которые могут подойти для вашей среды тестирования, но для производственной среды обычно требуются сертификаты, подписанные центром сертификации.
Чтобы создать ключ проверки и подписи и самозаверяющий сертификат:
- > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
- > cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
- > sudo openssl genrsa -out privkey.pem 2048
- > sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
- > sudo chown apigee:apigee *.pem
Чтобы создать ключ и самозаверяющий сертификат без парольной фразы для связи с SAML IDP:
- > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
- > cd /opt/apigee/customer/application/apigee-sso/saml/
- Сгенерируйте свой закрытый ключ с парольной фразой:
> sudo openssl genrsa -aes256 -out server.key 1024 - Удалите парольную фразу из ключа:
> sudo openssl rsa -in server.key -out server.key - Создайте запрос на подпись сертификата для CA:
> sudo openssl req -x509 -sha256 -new -key server.key -out server.csr - Создайте самозаверяющий сертификат со сроком действия 365 дней:
> sudo openssl x509 -sha256 -days 365 -in server.csr -signkey server.key -out selfsigned.crt - > sudo chown apigee:apigee server.key
- > sudo chown apigee:apigee selfsigned.crt
Если вы хотите включить TLS в модуле Edge SSO, задав для SSO_TOMCAT_PROFILE значение SSL_TERMINATION или SSL_PROXY , вы не сможете использовать самозаверяющий сертификат. Вы должны создать сертификат от центра сертификации. Дополнительную информацию см. в разделе Настройка apigee-sso для доступа по HTTPS .
Установите и настройте Edge SSO для доступа по HTTP.
Чтобы установить модуль Edge SSO, apigee-sso , необходимо использовать тот же процесс, который вы использовали для установки Edge. Поскольку apigee-sso представлен файлом RPM, это означает, что пользователь, выполняющий установку, должен быть пользователем root или пользователем с полным доступом к sudo. Дополнительную информацию см. в разделе Обзор установки Edge .
Передайте файл конфигурации установщику. Конфигурационный файл имеет следующий вид:
IP1=hostname_or_ip_of_management_server IP2=hostname_or_ip_of_UI_and_apigge_sso ## Management Server configuration. MSIP=$IP1 MGMT_PORT=8080 # Edge sys admin username and password as set when you installed Edge. ADMIN_EMAIL=opdk@google.com APIGEE_ADMINPW=Secret123 # Set the protocol for the Edge management API. Default is http. # Set to https if you enabled TLS on the management API. MS_SCHEME=http ## Postgres configuration. PG_HOST=$IP1 PG_PORT=5432 # Postgres username and password as set when you installed Edge. PG_USER=apigee PG_PWD=postgres # apigee-sso configuration. SSO_PROFILE="saml" # Externally accessible IP or DNS name of apigee-sso. SSO_PUBLIC_URL_HOSTNAME=$IP2 # Default port is 9099. If changing, set both properties to the same value. SSO_PUBLIC_URL_PORT=9099 SSO_TOMCAT_PORT=9099 # Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso. SSO_TOMCAT_PROFILE=DEFAULT SSO_PUBLIC_URL_SCHEME=http # SSO admin user name. The default is ssoadmin. SSO_ADMIN_NAME=ssoadmin # SSO admin password using uppercase, lowercase, number, and special chars. SSO_ADMIN_SECRET=Secret123 # Path to signing key and secret from "Create the TLS keys and certificates" above. SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem # Name of SAML IDP. For example, okta or adfs. SSO_SAML_IDP_NAME=okta # Text displayed to user when they attempt to access Edge UI. SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP" # The metadata URL from your IDP. # If you have a metadata file, and not a URL, # see "Specifying a metadata file instead of a URL" below. SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata # Specifies to skip TLS validation for the URL specified # by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. # Default value is "n". SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n # SAML service provider key and cert from "Create the TLS keys and certificates" above. SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt # The passphrase used when you created the SAML cert and key. # The section "Create the TLS keys and certificates" above removes the passphrase, # but this property is available if you require a passphrase. # SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123 # Must configure an SMTP server so Edge SSO can send emails to users. SKIP_SMTP=n SMTPHOST=smtp.example.com SMTPUSER=smtp@example.com # omit for no username SMTPPASSWORD=smtppwd # omit for no password SMTPSSL=n SMTPPORT=25 SMTPMAILFROM="My Company <myco@company.com>"
Чтобы установить модуль Edge SSO:
- Войдите в узел Сервера управления. На этом узле уже должна быть установлена служба apigee-service , как описано в разделе Установка утилиты Edge apigee-setup .
Обратите внимание, что вы можете установить Edge SSO на другом узле. Однако этот узел должен иметь доступ к серверу управления через порт 8080. - Установите и настройте apigee-sso :
> /opt/apigee/apigee-setup/bin/setup.sh -p sso -f файл конфигурации
где configFile — это файл конфигурации, показанный выше. - Установите утилиту apigee-ssoadminapi.sh , используемую для управления администраторами и пользователями компьютера для модуля apigee-sso :
/opt/apigee/apigee-service/bin/apigee-service установка apigee-ssoadminapi - Выйдите из оболочки, а затем снова войдите в систему, чтобы добавить в свой путь утилиту apigee-ssoadminapi.sh .
Указание файла метаданных вместо URL-адреса
Если ваш IDP не поддерживает URL-адрес метаданных HTTP/HTTPS, вы можете использовать XML-файл метаданных для настройки Edge SSO:
- Скопируйте содержимое XML метаданных из вашего IDP в файл на узле Edge SSO. Например, скопируйте XML в:
/opt/apigee/customer/application/apigee-sso/saml/metadata.xml - Измените владельца файла на apigee:apigee:
> chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml - Установите значение SSO_SAML_IDP_METADATA_URL на абсолютный путь к файлу:
SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml
Путь к файлу должен иметь префикс « file:// », за которым следует абсолютный путь от корня (/).
Edge для частного облака v4.18.01
Для установки и настройки модуля Edge SSO необходимо сначала создать два набора ключей и сертификатов TLS. Модуль Edge SSO использует TLS для защиты передачи информации в рамках процесса установления связи SAML с SAML IDP.
Примечание . По умолчанию модуль Edge SSO доступен через HTTP через порт 9099 узла, на котором он установлен. Вы можете включить TLS в модуле Edge SSO. Для этого вам необходимо создать третий набор ключей и сертификатов TLS, используемый Tomcat для поддержки TLS. Дополнительную информацию см. в разделе Настройка apigee-sso для доступа по HTTPS .
Создайте ключи и сертификаты TLS.
Приведенные ниже шаги создают самозаверяющие сертификаты, которые могут подойти для вашей среды тестирования, но для производственной среды обычно требуются сертификаты, подписанные центром сертификации.
Чтобы создать ключ проверки и подписи и самозаверяющий сертификат:
- > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
- > cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
- > sudo openssl genrsa -out privkey.pem 2048
- > sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
- > sudo chown apigee:apigee *.pem
Чтобы создать ключ и самозаверяющий сертификат без парольной фразы для связи с SAML IDP:
- > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
- > cd /opt/apigee/customer/application/apigee-sso/saml/
- Сгенерируйте свой закрытый ключ с парольной фразой:
> sudo openssl genrsa -aes256 -out server.key 1024 - Удалите парольную фразу из ключа:
> sudo openssl rsa -in server.key -out server.key - Создайте запрос на подпись сертификата для CA:
> sudo openssl req -x509 -sha256 -new -key server.key -out server.csr - Создайте самозаверяющий сертификат со сроком действия 365 дней:
> sudo openssl x509 -sha256 -days 365 -in server.csr -signkey server.key -out selfsigned.crt - > sudo chown apigee:apigee server.key
- > sudo chown apigee:apigee selfsigned.crt
Если вы хотите включить TLS в модуле Edge SSO, задав для SSO_TOMCAT_PROFILE значение SSL_TERMINATION или SSL_PROXY , вы не сможете использовать самозаверяющий сертификат. Вы должны создать сертификат от центра сертификации. Дополнительные сведения см. в разделе Настройка apigee-sso для доступа по HTTPS .
Установите и настройте Edge SSO для доступа по HTTP.
Чтобы установить модуль Edge SSO, apigee-sso , необходимо использовать тот же процесс, который вы использовали для установки Edge. Поскольку apigee-sso представлен файлом RPM, это означает, что пользователь, выполняющий установку, должен быть пользователем root или пользователем с полным доступом к sudo. Дополнительную информацию см. в разделе Обзор установки Edge .
Передайте файл конфигурации установщику. Конфигурационный файл имеет следующий вид:
IP1=hostname_or_ip_of_management_server IP2=hostname_or_ip_of_UI_and_apigge_sso ## Management Server configuration. MSIP=$IP1 MGMT_PORT=8080 # Edge sys admin username and password as set when you installed Edge. ADMIN_EMAIL=opdk@google.com APIGEE_ADMINPW=Secret123 # Set the protocol for the Edge management API. Default is http. # Set to https if you enabled TLS on the management API. MS_SCHEME=http ## Postgres configuration. PG_HOST=$IP1 PG_PORT=5432 # Postgres username and password as set when you installed Edge. PG_USER=apigee PG_PWD=postgres # apigee-sso configuration. SSO_PROFILE="saml" # Externally accessible IP or DNS name of apigee-sso. SSO_PUBLIC_URL_HOSTNAME=$IP2 # Default port is 9099. If changing, set both properties to the same value. SSO_PUBLIC_URL_PORT=9099 SSO_TOMCAT_PORT=9099 # Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso. SSO_TOMCAT_PROFILE=DEFAULT SSO_PUBLIC_URL_SCHEME=http # SSO admin user name. The default is ssoadmin. SSO_ADMIN_NAME=ssoadmin # SSO admin password using uppercase, lowercase, number, and special chars. SSO_ADMIN_SECRET=Secret123 # Path to signing key and secret from "Create the TLS keys and certificates" above. SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem # Name of SAML IDP. For example, okta or adfs. SSO_SAML_IDP_NAME=okta # Text displayed to user when they attempt to access Edge UI. SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP" # The metadata URL from your IDP. # If you have a metadata file, and not a URL, # see "Specifying a metadata file instead of a URL" below. SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata # Specifies to skip TLS validation for the URL specified # by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. # Default value is "n". SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n # SAML service provider key and cert from "Create the TLS keys and certificates" above. SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt # The passphrase used when you created the SAML cert and key. # The section "Create the TLS keys and certificates" above removes the passphrase, # but this property is available if you require a passphrase. # SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123 # Must configure an SMTP server so Edge SSO can send emails to users. SKIP_SMTP=n SMTPHOST=smtp.example.com SMTPUSER=smtp@example.com # omit for no username SMTPPASSWORD=smtppwd # omit for no password SMTPSSL=n SMTPPORT=25 SMTPMAILFROM="My Company <myco@company.com>"
Чтобы установить модуль Edge SSO:
- Войдите в узел Сервера управления. На этом узле уже должна быть установлена служба apigee-service , как описано в разделе Установка утилиты Edge apigee-setup .
Обратите внимание, что вы можете установить Edge SSO на другом узле. Однако этот узел должен иметь доступ к серверу управления через порт 8080. - Установите и настройте apigee-sso :
> /opt/apigee/apigee-setup/bin/setup.sh -p sso -f файл конфигурации
где configFile — это файл конфигурации, показанный выше. - Установите утилиту apigee-ssoadminapi.sh , используемую для управления администраторами и пользователями компьютеров для модуля apigee-sso :
/opt/apigee/apigee-service/bin/apigee-service установка apigee-ssoadminapi - Выйдите из оболочки, а затем снова войдите в систему, чтобы добавить в свой путь утилиту apigee-ssoadminapi.sh .
Указание файла метаданных вместо URL-адреса
Если ваш IDP не поддерживает URL-адрес метаданных HTTP/HTTPS, вы можете использовать XML-файл метаданных для настройки Edge SSO:
- Скопируйте содержимое XML метаданных из вашего IDP в файл на узле Edge SSO. Например, скопируйте XML в:
/opt/apigee/customer/application/apigee-sso/saml/metadata.xml - Измените владельца файла на apigee:apigee:
> chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml - Установите значение SSO_SAML_IDP_METADATA_URL на абсолютный путь к файлу:
SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml
Путь к файлу должен иметь префикс « file:// », за которым следует абсолютный путь от корня (/).