Edge สำหรับ Private Cloud เวอร์ชัน 4.18.01
การติดตั้งและกำหนดค่าโมดูล Edge SSO กำหนดให้คุณต้องสร้างคีย์และใบรับรอง TLS 2 ชุดก่อน โมดูล Edge SSO จะใช้ TLS เพื่อรักษาความปลอดภัยในการส่งข้อมูล ซึ่งเป็นส่วนหนึ่งของกระบวนการแฮนด์เชค SAML ด้วยผู้ให้บริการข้อมูลประจำตัว SAML
หมายเหตุ: โดยค่าเริ่มต้น โมดูล Edge SSO จะเข้าถึงได้ผ่าน HTTP ในพอร์ต 9099 ของโหนดที่ติดตั้งโหนดนั้นอยู่ คุณเปิดใช้ TLS ในโมดูล Edge SSO ได้ โดยคุณจะต้องสร้างคีย์ TLS และใบรับรองชุดที่ 3 ที่ Tomcat ใช้เพื่อรองรับ TLS โปรดดูข้อมูลเพิ่มเติมที่กำหนดค่า apigee-sso สำหรับการเข้าถึง HTTPS
สร้างคีย์ TLS และใบรับรอง
ขั้นตอนด้านล่างจะสร้างใบรับรองแบบ Self-signed ซึ่งอาจใช้ได้กับสภาพแวดล้อมการทดสอบ แต่โดยทั่วไปแล้วคุณต้องใช้ใบรับรองที่ลงชื่อโดย CA สำหรับสภาพแวดล้อมเวอร์ชันที่ใช้งานจริง
วิธีสร้างคีย์การยืนยันและการลงนาม รวมถึงใบรับรองแบบ Self-signed มีดังนี้
- > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
- > cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
- > sudo openssl genrsa -out privkey.pem 2048
- > sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
- > sudo chown apigee:apigee *.pem
หากต้องการสร้างคีย์และใบรับรองที่ลงนามด้วยตนเองโดยไม่มีรหัสผ่าน สำหรับการสื่อสารกับ SAML IdP ให้ทำดังนี้
- > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
- > cd /opt/apigee/customer/application/apigee-sso/saml/
- สร้างคีย์ส่วนตัวด้วยรหัสผ่าน
> sudo openssl genrsa -aes256 -out server.key 1024 - นำรหัสผ่านออกจากคีย์:
> sudo openssl rsa -in network.key -out server.key - สร้างคำขอลงชื่อใบรับรองสำหรับ CA:
> sudo openssl req -x509 -sha256 -new -key server.key -out server.csr - สร้างใบรับรองที่ลงนามด้วยตนเองซึ่งมีเวลาหมดอายุ 365 วันดังนี้
> sudo openssl x509 -sha256 -days 365 -in Server.csr -signkey server.key -out selfsigned.crt - > sudo chown apigee:apigee server.key
- > sudo chown apigee:apigee selfsigned.crt
หากต้องการเปิดใช้ TLS ในโมดูล Edge SSO การตั้งค่า SSO_TOMCAT_PROFILE เป็น SSL_TERMINATION หรือ SSL_PROXY คุณจะใช้ใบรับรองที่ลงชื่อด้วยตนเองไม่ได้ คุณต้องสร้างใบรับรองจาก CA ดูข้อมูลเพิ่มเติมได้ที่กำหนดค่า apigee-sso สำหรับการเข้าถึง HTTPS
ติดตั้งและกำหนดค่า Edge SSO สำหรับการเข้าถึง HTTP
หากต้องการติดตั้งโมดูล Edge SSO สำหรับ apigee-sso คุณต้องใช้กระบวนการเดียวกันกับที่ใช้ติดตั้ง Edge เนื่องจาก apigee-sso แสดงด้วยไฟล์ RPM ซึ่งหมายความว่าผู้ใช้ที่ดำเนินการติดตั้งต้องเป็นผู้ใช้รากหรือผู้ใช้ที่มีสิทธิ์เข้าถึง sudo โดยสมบูรณ์ โปรดดูข้อมูลเพิ่มเติมในภาพรวมการติดตั้ง Edge
ส่งไฟล์การกำหนดค่าไปยังโปรแกรมติดตั้ง โดยไฟล์การกำหนดค่าจะมีรูปแบบต่อไปนี้
IP1=hostname_or_ip_of_management_server IP2=hostname_or_ip_of_UI_and_apigge_sso ## Management Server configuration. MSIP=$IP1 MGMT_PORT=8080 # Edge sys admin username and password as set when you installed Edge. ADMIN_EMAIL=opdk@google.com APIGEE_ADMINPW=Secret123 # Set the protocol for the Edge management API. Default is http. # Set to https if you enabled TLS on the management API. MS_SCHEME=http ## Postgres configuration. PG_HOST=$IP1 PG_PORT=5432 # Postgres username and password as set when you installed Edge. PG_USER=apigee PG_PWD=postgres # apigee-sso configuration. SSO_PROFILE="saml" # Externally accessible IP or DNS name of apigee-sso. SSO_PUBLIC_URL_HOSTNAME=$IP2 # Default port is 9099. If changing, set both properties to the same value. SSO_PUBLIC_URL_PORT=9099 SSO_TOMCAT_PORT=9099 # Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso. SSO_TOMCAT_PROFILE=DEFAULT SSO_PUBLIC_URL_SCHEME=http # SSO admin user name. The default is ssoadmin. SSO_ADMIN_NAME=ssoadmin # SSO admin password using uppercase, lowercase, number, and special chars. SSO_ADMIN_SECRET=Secret123 # Path to signing key and secret from "Create the TLS keys and certificates" above. SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem # Name of SAML IDP. For example, okta or adfs. SSO_SAML_IDP_NAME=okta # Text displayed to user when they attempt to access Edge UI. SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP" # The metadata URL from your IDP. # If you have a metadata file, and not a URL, # see "Specifying a metadata file instead of a URL" below. SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata # Specifies to skip TLS validation for the URL specified # by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. # Default value is "n". SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n # SAML service provider key and cert from "Create the TLS keys and certificates" above. SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt # The passphrase used when you created the SAML cert and key. # The section "Create the TLS keys and certificates" above removes the passphrase, # but this property is available if you require a passphrase. # SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123 # Must configure an SMTP server so Edge SSO can send emails to users. SKIP_SMTP=n SMTPHOST=smtp.example.com SMTPUSER=smtp@example.com # omit for no username SMTPPASSWORD=smtppwd # omit for no password SMTPSSL=n SMTPPORT=25 SMTPMAILFROM="My Company <myco@company.com>"
วิธีติดตั้งโมดูล Edge SSO
- เข้าสู่ระบบโหนด Management Server โหนดดังกล่าวควรติดตั้ง apigee-service ไว้แล้วตามที่อธิบายไว้ในติดตั้งยูทิลิตี Edge apigee-setup
โปรดทราบว่าคุณสามารถติดตั้ง Edge SSO ในโหนดอื่นได้ อย่างไรก็ตาม โหนดดังกล่าวต้องเข้าถึงเซิร์ฟเวอร์การจัดการผ่านพอร์ต 8080 ได้ - ติดตั้งและกำหนดค่า apigee-sso ดังนี้
> /opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile
โดยที่ configFile คือไฟล์การกำหนดค่าที่แสดงด้านบน - ติดตั้งยูทิลิตี apigee-ssoadminapi.sh ที่ใช้จัดการผู้ดูแลระบบและผู้ใช้เครื่องสำหรับโมดูล apigee-sso ดังนี้
/opt/apigee/apigee-service/bin/apigee-service apigee-ssoadminapi install - ออกจากระบบ Shell แล้วลงชื่อเข้าสู่ระบบอีกครั้งเพื่อเพิ่มยูทิลิตี apigee-ssoadminapi.sh ลงในเส้นทาง
การระบุไฟล์ข้อมูลเมตาแทน URL
หาก IdP ของคุณไม่รองรับ URL ของข้อมูลเมตา HTTP/HTTPS คุณจะใช้ไฟล์ XML ของข้อมูลเมตาเพื่อกำหนดค่า Edge SSO ได้ดังนี้
- คัดลอกเนื้อหาของข้อมูลเมตา XML จาก IdP ไปยังไฟล์ในโหนด Edge SSO ตัวอย่างเช่น ให้คัดลอก XML ไปที่
/opt/apigee/customer/application/apigee-sso/saml/metadata.xml - เปลี่ยนการเป็นเจ้าของไฟล์เป็น apigee:apigee:
> chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml - ตั้งค่า SSO_SAML_IDP_METADATA_URL เป็นเส้นทางไฟล์แบบสัมบูรณ์
SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml
คุณต้องขึ้นต้นเส้นทางไฟล์ด้วย "file://" ตามด้วยรูท (เส้นทางแบบสัมบูรณ์) จาก