Configurare Apigee Apigee per l'accesso HTTPS

Edge for Private Cloud v4.18.05

Installare e configurare Edge SSO descrive come installare e configurare il modulo Edge SSO per l'utilizzo di HTTP sulla porta 9099, come specificato dalla seguente proprietà nel file di configurazione:

SSO_TOMCAT_PROFILE=DEFAULT

In alternativa, puoi impostare SSO_TOMCAT_PROFILE su uno dei seguenti valori per attivare l'accesso HTTPS:

• SSL_PROXY: configura apigee-sso in modalità proxy, il che significa che hai installato un bilanciatore del carico davanti a apigee-sso e hai terminato TLS sul bilanciatore del carico. Poi specifica la porta utilizzata su apigee-sso per le richieste del bilanciatore del carico.
• SSL_TERMINATION: è stato attivato l'accesso TLS a apigee-sso, il modulo SSO di Edge, sulla porta che preferisci. Per questa modalità devi specificare un keystore contenente un certificato firmato da un'autorità di certificazione. Non puoi utilizzare un certificato autofirmato.

Puoi scegliere di attivare HTTPS al momento dell'installazione e della configurazione iniziale apigee-sso oppure puoi attivarlo in un secondo momento.

L'attivazione dell'accesso HTTPS a apigee-sso utilizzando una delle due modalità disattiva l'accesso HTTP. In altre parole, non puoi accedere a apigee-sso utilizzando contemporaneamente HTTP e HTTPS.

Attiva la modalità SSL_PROXY

In modalità SSL_PROXY, il sistema utilizza un bilanciatore del carico davanti al modulo SSO Edge e termina TLS sul bilanciatore del carico. Nella figura seguente, il bilanciatore del carico termina TLS sulla porta 443 e poi inoltra le richieste al modulo SSO Edge sulla porta 9099:

In questa configurazione, consideri attendibile la connessione dal bilanciatore del carico al modulo SSO Edge, pertanto non è necessario utilizzare TLS per questa connessione. Tuttavia, le entità esterne, come l'IdP SAML, ora devono accedere al modulo SSO di Edge sulla porta 443, non sulla porta non protetta 9099.

Il motivo per cui configurare il modulo SSO di Edge in modalità SSL_PROXY è che il modulo SSO di Edge genera automaticamente gli URL di reindirizzamento utilizzati esternamente dall'IdP nell'ambito del processo di autenticazione. Pertanto, questi URL di reindirizzamento devono contenere il numero di porta esterna sul bilanciatore del carico, 443 in questo esempio, e non la porta interna sul modulo SSO Edge, 9099.

Nota: non devi creare un certificato e una chiave TLS per la modalità SSL_PROXY perché la connessione dal bilanciatore del carico al modulo SSO di Edge utilizza HTTP.

Per configurare il modulo SSO di Edge per la modalità SSL_PROXY:

1. Aggiungi le seguenti impostazioni al file di configurazione:

   # Enable SSL_PROXY mode.
   SSO_TOMCAT_PROFILE=SSL_PROXY
   
   # Specify the apigee-sso port, typically between 1025 and 65535.
   # Typically ports 1024 and below require root access by apigee-sso.
   # The default is 9099.
   SSO_TOMCAT_PORT=9099
   
   # Specify the port number on the load balancer for terminating TLS.
   # This port number is necessary for apigee-sso to auto-generate redirect URLs.
   SSO_TOMCAT_PROXY_PORT=443
   SSO_PUBLIC_URL_PORT=443
   
   # Set public access scheme of apigee-sso to https.
   SSO_PUBLIC_URL_SCHEME=https

2. Configura il modulo SSO di Edge:

   /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

3. Aggiorna la configurazione dell'IdP in modo da effettuare una richiesta HTTPS sulla porta 443 del bilanciatore del carico per accedere a Edge SSO. Per saperne di più, consulta Configurare l'IDP SAML.
4. Aggiorna la configurazione dell'interfaccia utente di Edge per HTTPS impostando le seguenti proprietà nel file di configurazione:
   

   SSO_PUBLIC_URL_PORT=443
   SSO_PUBLIC_URL_SCHEME=https

   Aggiorna l'interfaccia utente di Edge:

   /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-sso -f configFile

   Per saperne di più, consulta Attivare SAML nell'interfaccia utente di Edge.

5. Se hai installato il portale Apigee Developer Services (o semplicemente il portale), aggiornalo in modo da utilizzare HTTPS per accedere al sistema di accesso federato Ede. Per saperne di più, consulta Configurare il portale per utilizzare SAML per comunicare con Edge

Attiva la modalità SSL_TERMINATION

Per la modalità SSL_TERMINATION, devi:

• Genera un certificato e una chiave TLS e archiviali in un file dell'archivio chiavi. Non puoi utilizzare un certificato autofirmato. Devi generare un certificato da un'autorità di certificazione.
• Aggiorna le impostazioni di configurazione per apigee-sso.

Per creare un file del keystore dal certificato e dalla chiave:

1. Crea una directory per il file JKS:

   sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

2. Passa alla nuova directory:

   cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

3. Crea un file JKS contenente il certificato e la chiave. Per questa modalità devi specificare un keystore contenente un certificato firmato da un'autorità di certificazione. Non puoi utilizzare un certificato autofirmato. Per un esempio di creazione di un file JKS, consulta Configurazione di TLS/SSL per Edge On Premises.
4. Assegna il file JKS all'utente "apigee":
   

   sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

Per configurare il modulo SSO di Edge:

1. Aggiungi le seguenti impostazioni al file di configurazione:

   # Enable SSL_TERMINATION mode.
   SSO_TOMCAT_PROFILE=SSL_TERMINATION
   
   # Specify the path to the keystore file.
   SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
   
   SSO_TOMCAT_KEYSTORE_ALIAS=sso
   
   # The password specified when you created the keystore.
   SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword
   
   # Specify the HTTPS port number between 1025 and 65535.
   # Typically ports 1024 and below require root access by apigee-sso.
   # The default is 9099.
   SSO_TOMCAT_PORT=9443
   SSO_PUBLIC_URL_PORT=9443
   
   # Set public access scheme of apigee-sso to https.
   SSO_PUBLIC_URL_SCHEME=https

2. Configura il modulo SSO di Edge:

   /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

3. Aggiorna la configurazione dell'IdP in modo da effettuare una richiesta HTTPS sulla porta 9443 del bilanciatore del carico per accedere a Edge SSO. Per saperne di più, consulta Configurare l'IDP SAML.
4. Aggiorna la configurazione dell'interfaccia utente di Edge per HTTPS impostando le seguenti proprietà:

   SSO_PUBLIC_URL_PORT=9443
   SSO_PUBLIC_URL_SCHEME=https

   Per saperne di più, consulta Attivare SAML nell'interfaccia utente di Edge.

5. Se hai installato il portale Servizi per gli sviluppatori, aggiornalo in modo da utilizzare HTTPS per accedere a Ede SSO. Per saperne di più, consulta Configurare il portale Developer Services per utilizzare SAML per comunicare con Edge.

Impostazione di SSO_TOMCAT_PROXY_PORT quando si utilizza la modalità SSL_TERMINATION

Potresti avere un bilanciatore del carico davanti al modulo SSO Edge che termina TLS sul bilanciatore del carico, ma abilita anche TLS tra il bilanciatore del carico e SSO Edge. Nella figura sopra riportata, per la modalità SSL_PROXY, la connessione dal bilanciatore del carico a Edge SSO utilizza TLS.

In questo scenario, configuri TLS su Edge SSO come indicato sopra per la modalità SSL_TERMINATION. Tuttavia, se il bilanciatore del carico utilizza un numero di porta TLS diverso da quello utilizzato da Edge SSO per TLS, devi specificare anche la proprietà SSO_TOMCAT_PROXY_PORT nel file di configurazione. Ad esempio:

• Il bilanciatore del carico termina TLS sulla porta 443
• SSO Edge termina TLS sulla porta 9443

Assicurati di includere la seguente impostazione nel file di configurazione:

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

Configura l'interfaccia utente dell'IDP e di Edge per effettuare richieste HTTPS sulla porta 443.