Edge TOA hizmetini yükleme ve yapılandırma

Edge for Private Cloud 4.18.01 sürümü

Edge TOA modülünü yüklemek ve yapılandırmak için öncelikle iki adet TLS anahtarları ve sertifikaları. Edge TOA modülü, bilgi iletimini güvence altına almak için TLS kullanır SAML IdP ile SAML el sıkışma sürecinin bir parçası olarak

Not: Varsayılan olarak Edge TOA modülüne şu bağlantı noktası 9099 üzerinden HTTP üzerinden erişilebilir: yüklendiği düğüm. TLS'yi Edge TOA modülünde etkinleştirebilirsiniz. Bunu yapmak için TLS'yi desteklemek için Tomcat tarafından kullanılan üçüncü bir TLS anahtarı ve sertifika grubu oluşturmak için kullanılır. Daha fazla bilgi için HTTPS erişimi için Apigee-sso'yu yapılandırma bölümüne bakın.

TLS anahtarlarını ve sertifikalarını oluşturma

Aşağıdaki adımlar test ortamınız için uygun olabilecek kendinden imzalı sertifikalar oluşturur ancak genellikle üretim ortamı için CA tarafından imzalanmış sertifikalara ihtiyacınız vardır.

Doğrulama ve imzalama anahtarı ile kendinden imzalı sertifikayı oluşturmak için:

  1. > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
  2. > cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
  3. > sudolandingsl genrsa -out privkey.pem 2048
  4. > sudolandingsl rsa -pubout -in privkey.pem -out pubkey.pem
  5. > sudo chown Apigee:Apigee *.pem

SAML ile iletişim kurmak amacıyla anahtarı ve kendinden imzalı sertifikayı, parola olmadan oluşturmak için IDP:

  1. > sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
  2. > cd /opt/apigee/customer/application/apigee-sso/saml/
  3. Özel anahtarınızı bir parola ile oluşturun:
    > sudoopensl genrsa -aes256 -out sunucu.anahtarı 1024
  4. Parolayı anahtardan kaldırın:
    > sudo opensl rsa -in server.key -out server.key
  5. CA için sertifika imzalama isteği oluşturun:
    > sudolandingsl req -x509 -sha256 -new -key server.key -out server.csr
  6. 365 günlük geçerlilik süresi olan kendinden imzalı sertifika oluşturun:
    > sudolandingsl x509 -sha256 -gün 365 -in server.csr -signkey server.key -out structured.crt
  7. > sudo chown Apigee:Apigee server.key
  8. > sudo chown Apigee:Apigee selfsigned.crt

Uç TOA modülünde TLS'yi etkinleştirmek istiyorsanız SSO_TOMCAT_PROFILE'i SSL_TERMINATION olarak ayarlayın veya SSL_PROXY için kendinden imzalı bir sertifika kullanamazsınız. URL'nin tamamını bir sertifika alırsınız. Daha fazla bilgi için Apigee-sso'yu yapılandırma HTTPS erişimi hakkında daha fazla bilgi edinin.

HTTP için Edge TOA'yı yükleyin ve yapılandırın erişim

Edge TOA modülünü (Apigee-sso) yüklemek için aynı işlemi kullanmanız gerekir. bir bağlantı noktasıdır. Apigee-sso, bir BGBG dosyası ile temsil edildiğinden, Bu, yüklemeyi gerçekleştiren kullanıcının kök kullanıcı veya tam sudo'ya sahip bir kullanıcı olması gerektiği anlamına gelir. erişim. Daha fazla bilgi için Uç Yüklemeye Genel Bakış başlıklı makaleye bakın.

Yükleyiciye bir yapılandırma dosyası iletin. Yapılandırma dosyası aşağıdaki biçimdedir:

IP1=hostname_or_ip_of_management_server
IP2=hostname_or_ip_of_UI_and_apigge_sso

## Management Server configuration.
MSIP=$IP1
MGMT_PORT=8080
# Edge sys admin username and password as set when you installed Edge.
ADMIN_EMAIL=opdk@google.com
APIGEE_ADMINPW=Secret123
# Set the protocol for the Edge management API. Default is http. 
# Set to https if you enabled TLS on the management API.
MS_SCHEME=http

## Postgres configuration. 
PG_HOST=$IP1
PG_PORT=5432
# Postgres username and password as set when you installed Edge.
PG_USER=apigee
PG_PWD=postgres

# apigee-sso configuration.
SSO_PROFILE="saml"
# Externally accessible IP or DNS name of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
# Default port is 9099. If changing, set both properties to the same value.
SSO_PUBLIC_URL_PORT=9099
SSO_TOMCAT_PORT=9099
# Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso.
SSO_TOMCAT_PROFILE=DEFAULT
SSO_PUBLIC_URL_SCHEME=http

# SSO admin user name. The default is ssoadmin.
SSO_ADMIN_NAME=ssoadmin
# SSO admin password using uppercase, lowercase, number, and special chars. 
SSO_ADMIN_SECRET=Secret123

# Path to signing key and secret from "Create the TLS keys and certificates" above.
SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem
SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem

# Name of SAML IDP. For example, okta or adfs. 
SSO_SAML_IDP_NAME=okta
# Text displayed to user when they attempt to access Edge UI.
SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP"

# The metadata URL from your IDP.
# If you have a metadata file, and not a URL, 
# see "Specifying a metadata file instead of a URL" below.
SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata

# Specifies to skip TLS validation for the URL specified
# by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. 
# Default value is "n".
SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n

# SAML service provider key and cert from "Create the TLS keys and certificates" above.
SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key
SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt
# The passphrase used when you created the SAML cert and key. 
# The section "Create the TLS keys and certificates" above removes the passphrase, 
# but this property is available if you require a passphrase.
# SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123

# Must configure an SMTP server so Edge SSO can send emails to users.
SKIP_SMTP=n
SMTPHOST=smtp.example.com
SMTPUSER=smtp@example.com  
# omit for no username
SMTPPASSWORD=smtppwd    
# omit for no password
SMTPSSL=n
SMTPPORT=25
SMTPMAILFROM="My Company <myco@company.com>"

Edge TOA modülünü yüklemek için:

  1. Yönetim Sunucusu düğümüne giriş yapın. Bu düğümde açıklandığı gibi apigee-service zaten yüklü olmalıdır Edge Apigee-setup yardımcı programını yükleme.
    . Edge TOA'yı farklı bir düğüme yükleyebileceğinizi unutmayın. Ancak bu düğümün Yönetim Sunucusu'na 8080 numaralı bağlantı noktası üzerinden erişin.
  2. Apigee-sso dosyasını yükleyin ve yapılandırın:
    > /opt/Apigee/Apigee-setup/bin/setup.sh -p sso -f configFile

    Burada configFile, yukarıda gösterilen yapılandırma dosyasıdır.
  3. Aşağıdaki işlemler için kullanılan apigee-ssoadminapi.sh yardımcı programını yükleyin. Apigee-sso modülü için yönetici ve makine kullanıcılarını yönetme:
    /opt/apigee/apigee-service/bin/apigee-service Apigee-ssoadminapi yüklemesi
  4. Kabuktan çıkış yapın ve ardından apigee-ssoadminapi.sh yardımcı programını yol'a dokunun.

URL yerine meta veri dosyası belirtme

IDP'niz HTTP/HTTPS meta veri URL'sini desteklemiyorsa aşağıdakileri yapmak için bir meta veri XML dosyası kullanabilirsiniz: Edge TOA'yı yapılandırın:

  1. Meta veri XML'sinin içeriğini IDP'nizden Edge TOA düğümündeki bir dosyaya kopyalayın. Örneğin, Örneğin, XML'yi şu konuma kopyalayın:
    /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  2. Dosyanın sahipliğini Apigee:Apigee:
    olarak değiştirme &gt; chown Apigee:Apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  3. SSO_SAML_IDP_METADATA_URL değerini mutlak olarak ayarlayın. dosya yolu:
    SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml

    Dosya yolunun önüne "file://" ifadesini ve ardından mutlak yolu getirmelisiniz kökten (/) alır.