HTTPS アクセス用の apigee-sso の構成

Edge for Private Cloud v4.18.05

Edge SSO のインストールと構成で、 次のプロパティを指定します。

SSO_TOMCAT_PROFILE=DEFAULT

または、SSO_TOMCAT_PROFILE を次のいずれかに設定することもできます。 値を使用して HTTPS アクセスを有効にします。

  • SSL_PROXY - プロキシモードで apigee-sso を構成します。つまり、 apigee-sso の前にロードバランサをインストールし、その負荷で TLS を終端 内部 IP アドレスを使用します次に、読み込みのリクエスト用に apigee-sso で使用するポートを指定します。 内部 IP アドレスを使用します
  • SSL_TERMINATION - 有効な TLS アクセス: Edge SSO モジュールである apigee-sso ポートを選択できますこのモードでは、 。自己署名証明書は使用できません。

最初のインストールと構成時に HTTPS を有効にすることもできます。 apigee-sso。後で有効にすることもできます。

いずれかのモードを使用して apigee-sso への HTTPS アクセスを有効にすると、HTTP が無効になります できます。つまり、HTTP と HTTPS の両方を使用して apigee-sso にアクセスすることはできません。 できます。

SSL_PROXY モードを有効にする

SSL_PROXY モードでは、システムは Edge SSO モジュールの前にロードバランサを使用し、そのロードバランサで TLS を終端します。イン 次の図では、ロードバランサは TLS をポート 443 で終端し、リクエストを Edge SSO モジュールをポート 9099 で接続します。

この構成では、ロードバランサから Edge SSO モジュールへの接続を信頼します。 そのため、その接続に TLS を使用する必要はありません。ただし、SAML などの外部エンティティは IDP は、保護されていないポート 9099 ではなく、ポート 443 で Edge SSO モジュールにアクセスする必要があります。

Edge SSO モジュールを SSL_PROXY モードで構成する理由は、Edge SSO モジュールが は、認証プロセスの一環として、IDP が外部で使用するリダイレクト URL を自動生成します。 したがって、これらのリダイレクト URL には、ロードバランサの外部ポート番号 443 を Edge SSO モジュールの内部ポートである 9099 ではありません。

: TLS 証明書と鍵を作成する必要はありません。 SSL_PROXY モードは、ロードバランサから Edge SSO モジュールへの接続が HTTP を使用します。

Edge SSO モジュールを SSL_PROXY モードに構成するには:

  1. 構成ファイルに次の設定を追加します。
    # Enable SSL_PROXY mode.
    SSO_TOMCAT_PROFILE=SSL_PROXY
    
    # Specify the apigee-sso port, typically between 1025 and 65535.
    # Typically ports 1024 and below require root access by apigee-sso.
    # The default is 9099.
    SSO_TOMCAT_PORT=9099
    
    # Specify the port number on the load balancer for terminating TLS.
    # This port number is necessary for apigee-sso to auto-generate redirect URLs.
    SSO_TOMCAT_PROXY_PORT=443
    SSO_PUBLIC_URL_PORT=443
    
    # Set public access scheme of apigee-sso to https.
    SSO_PUBLIC_URL_SCHEME=https
  2. Edge SSO モジュールを構成します。
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
  3. IdP の構成を更新して、負荷のポート 443 で HTTPS リクエストを行うようにします。 アクセスすることもできます。SAML を構成する IDP をご覧ください。
  4. 構成ファイルで次のプロパティを設定して、HTTPS 用に Edge UI 構成を更新します。
    SSO_PUBLIC_URL_PORT=443
    SSO_PUBLIC_URL_SCHEME=https

    次に、Edge UI を更新します。

    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-sso -f configFile

    詳細については、Edge UI で SAML を有効にするをご覧ください。

  5. Apigee Developer Services ポータル(略して「ポータル」)をインストールした場合は、HTTPS を使用するようにポータルを更新します。 アクセスします。詳細については、次をご覧ください。 SAML を使用して Edge と通信するようにポータルを構成する

SSL_TERMINATION モードを有効にする

SSL_TERMINATION モードの場合は、次のことを行う必要があります。

  • TLS 証明書と鍵を生成してキーストア ファイルに保存する。 自己署名証明書を使用できます。CA からの証明書を生成する必要があります。
  • apigee-sso. の構成を更新する

証明書と鍵からキーストア ファイルを作成するには:

  1. JKS ファイル用のディレクトリを作成します。
    sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  2. 新しいディレクトリに移動します。
    cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  3. 証明書と鍵を含む JKS ファイルを作成します。このモードではキーストアを指定する必要があります 証明書ファイルが作成されます自己署名証明書は使用できません。たとえば 作成方法については、Google Cloud で TLS/SSL の オンプレミスのエッジ
  4. JKS ファイルの所有者を「apigee」にするユーザー:
    sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

Edge SSO モジュールを構成するには:

  1. 構成ファイルに次の設定を追加します。
    # Enable SSL_TERMINATION mode.
    SSO_TOMCAT_PROFILE=SSL_TERMINATION
    
    # Specify the path to the keystore file.
    SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
    
    SSO_TOMCAT_KEYSTORE_ALIAS=sso
    
    # The password specified when you created the keystore.
    SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword
    
    # Specify the HTTPS port number between 1025 and 65535.
    # Typically ports 1024 and below require root access by apigee-sso.
    # The default is 9099.
    SSO_TOMCAT_PORT=9443
    SSO_PUBLIC_URL_PORT=9443
    
    # Set public access scheme of apigee-sso to https.
    SSO_PUBLIC_URL_SCHEME=https
  2. Edge SSO モジュールを構成します。
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
  3. IdP の構成を更新して、負荷のポート 9443 で HTTPS リクエストを行うようにします。 アクセスすることもできます。SAML を構成する IDP をご覧ください。
  4. 次のプロパティを設定して、HTTPS 用に Edge UI 構成を更新します。
    SSO_PUBLIC_URL_PORT=9443
    SSO_PUBLIC_URL_SCHEME=https

    詳細については、Edge UI で SAML を有効にするをご覧ください。

  5. Developer Services ポータルをインストール済みの場合は、HTTPS を使用するようにポータルを更新して、 アクセスします。詳細については、アプリケーションの Developer Services ポータルで SAML を使用して Edge と通信するをご覧ください。

SSL_TERMINATION モード使用時の SSO_TOMCAT_PROXY_PORT の設定

Edge SSO モジュールの前にロードバランサを配置して、負荷時に TLS を終端させる ロードバランサと Edge SSO の間の TLS も有効にします。上の図では、 SSL_PROXY モードの場合、ロードバランサから Edge SSO への接続には、 TLS です。

このシナリオでは、上記の SSL_TERMINATION モード。ただし、 使用している TLS ポート番号が、Edge SSO が TLS に使用するものと異なる場合は、 構成ファイルの SSO_TOMCAT_PROXY_PORT プロパティ。例:

  • ロードバランサは、TLS をポート 443 で終端します。
  • Edge SSO がポート 9443 で TLS を終端する

構成ファイルに次の設定が含まれていることを確認してください。

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

ポート 443 で HTTPS リクエストを行うように IDP と Edge UI を構成します。