Edge pour Private Cloud v4.18.05
Installer et configurer Edge SSO explique comment installer et configurer le module Edge SSO pour qu'il utilise HTTP sur le port 9099, comme indiqué par la propriété suivante dans le fichier de configuration:
SSO_TOMCAT_PROFILE=DEFAULT
Vous pouvez également définir SSO_TOMCAT_PROFILE sur l'une des valeurs suivantes pour activer l'accès HTTPS:
- SSL_PROXY : configure
apigee-ssoen mode proxy, ce qui signifie que vous avez installé un équilibreur de charge devantapigee-ssoet arrêté TLS sur l'équilibreur de charge. Vous spécifiez ensuite le port utilisé surapigee-ssopour les requêtes de l'équilibreur de charge. - SSL_TERMINATION : accès TLS activé pour
apigee-sso, le module d'authentification unique Edge, sur le port de votre choix. Vous devez spécifier un keystore pour ce mode qui contient un certificat signé par une autorité de certification. Vous ne pouvez pas utiliser de certificat autosigné.
Vous pouvez choisir d'activer HTTPS au moment de l'installation et de la configuration initiale de apigee-sso, ou vous pouvez l'activer ultérieurement.
L'activation de l'accès HTTPS à apigee-sso à l'aide de l'un des modes désactive l'accès HTTP. Autrement dit, vous ne pouvez pas accéder à apigee-sso à la fois via HTTP et HTTPS.
Activer le mode SSL_PROXY
En mode SSL_PROXY, votre système utilise un équilibreur de charge devant le module SSO Edge et interrompt le protocole TLS sur l'équilibreur de charge. Dans la figure suivante, l'équilibreur de charge met fin à TLS sur le port 443, puis transfère les requêtes au module SSO Edge sur le port 9099:
Dans cette configuration, vous faites confiance à la connexion de l'équilibreur de charge au module SSO Edge. Il n'est donc pas nécessaire d'utiliser TLS pour cette connexion. Toutefois, les entités externes, telles que le fournisseur d'identité SAML, doivent désormais accéder au module SSO Edge sur le port 443, et non sur le port non protégé 9099.
Le module SSO Edge doit être configuré en mode SSL_PROXY, car il génère automatiquement les URL de redirection utilisées en externe par l'IDP lors du processus d'authentification.
Par conséquent, ces URL de redirection doivent contenir le numéro de port externe de l'équilibreur de charge, 443 dans cet exemple, et non le port interne du module SSO Edge, 9099.
Remarque: Vous n'avez pas besoin de créer de certificat et de clé TLS pour le mode SSL_PROXY, car la connexion de l'équilibreur de charge au module SSO Edge utilise HTTP.
Pour configurer le module Edge SSO pour le mode SSL_PROXY:
- Ajoutez les paramètres suivants à votre fichier de configuration :
# Enable SSL_PROXY mode. SSO_TOMCAT_PROFILE=SSL_PROXY # Specify the apigee-sso port, typically between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9099 # Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to auto-generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- Configurez le module Edge SSO :
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- Modifiez la configuration de votre IDP pour qu'il envoie désormais une requête HTTPS sur le port 443 de l'équilibreur de charge pour accéder à l'authentification unique Edge. Pour en savoir plus, consultez Configurer votre IDP SAML.
- Mettez à jour la configuration de l'UI Edge pour HTTPS en définissant les propriétés suivantes dans le fichier de configuration:
SSO_PUBLIC_URL_PORT=443 SSO_PUBLIC_URL_SCHEME=https
Mettez ensuite à jour l'UI Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-sso -f configFile
Pour en savoir plus, consultez Activer SAML sur l'interface utilisateur Edge.
- Si vous avez installé le portail de services dédiés aux développeurs Apigee (ou simplement le portail), mettez-le à jour pour qu'il utilise HTTPS pour accéder à l'authentification unique Ede. Pour en savoir plus, consultez la section Configurer le portail pour utiliser SAML pour communiquer avec Edge.
Activer le mode SSL_TERMINATION
Pour le mode SSL_TERMINATION, vous devez:
- Vous avez généré un certificat et une clé TLS, et les avez stockés dans un fichier keystore. Vous ne pouvez pas utiliser de certificat autosigné. Vous devez générer un certificat à partir d'une autorité de certification.
- Mettre à jour les paramètres de configuration de
apigee-sso.
Pour créer un fichier keystore à partir de votre certificat et de votre clé:
- Créez un répertoire pour le fichier JKS :
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- Accédez au nouveau répertoire :
cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- Créez un fichier JKS contenant le certificat et la clé. Vous devez spécifier un keystore pour ce mode contenant un certificat signé par une autorité de certification. Vous ne pouvez pas utiliser de certificat autosigné. Pour voir un exemple de création d'un fichier JKS, consultez la section Configurer TLS/SSL pour Edge sur site.
- Faites en sorte que le fichier JKS appartienne à l'utilisateur "apigee" :
sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl
Pour configurer le module Edge SSO:
- Ajoutez les paramètres suivants à votre fichier de configuration :
# Enable SSL_TERMINATION mode. SSO_TOMCAT_PROFILE=SSL_TERMINATION # Specify the path to the keystore file. SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks SSO_TOMCAT_KEYSTORE_ALIAS=sso # The password specified when you created the keystore. SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword # Specify the HTTPS port number between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9443 SSO_PUBLIC_URL_PORT=9443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- Configurez le module Edge SSO :
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- Mettez à jour la configuration de votre IDP pour qu'elle envoie désormais une requête HTTPS sur le port 9443 de l'équilibreur de charge pour accéder à l'authentification unique Edge. Pour en savoir plus, consultez Configurer votre IDP SAML.
- Mettez à jour la configuration de l'UI Edge pour HTTPS en définissant les propriétés suivantes :
SSO_PUBLIC_URL_PORT=9443 SSO_PUBLIC_URL_SCHEME=https
Pour en savoir plus, consultez Activer SAML sur l'interface utilisateur Edge.
- Si vous avez installé le portail des services pour les développeurs, mettez-le à jour pour qu'il utilise HTTPS pour accéder au SSO Ede. Pour en savoir plus, consultez Configurer le portail Developer Services pour utiliser SAML pour communiquer avec Edge.
Définir SSO_TOMCAT_PROXY_PORT lorsque vous utilisez le mode SSL_TERMINATION
Vous pouvez avoir un équilibreur de charge devant le module Edge SSO qui interrompt TLS sur l'équilibreur de charge, mais qui active également TLS entre l'équilibreur de charge et Edge SSO. Dans la figure ci-dessus pour le mode SSL_PROXY, cela signifie que la connexion de l'équilibreur de charge à Edge SSO utilise TLS.
Dans ce scénario, vous configurez TLS sur Edge SSO comme vous l'avez fait ci-dessus pour le mode SSL_TERMINATION. Toutefois, si l'équilibreur de charge utilise un numéro de port TLS différent de celui utilisé par Edge SSO pour TLS, vous devez également spécifier la propriété SSO_TOMCAT_PROXY_PORT dans le fichier de configuration. Exemple :
- L'équilibreur de charge arrête TLS sur le port 443
- L'authentification unique Edge termine TLS sur le port 9443
Veillez à inclure le paramètre suivant dans le fichier de configuration:
# Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443
Configurez l'IDP et l'UI Edge pour envoyer des requêtes HTTPS sur le port 443.