דף זה תורגם על ידי Cloud Translation API.

הגדרת apigee-sso לגישה ל-HTTPS

Edge for Private Cloud v4.18.05

במאמר התקנה והגדרה של Edge SSO מוסבר איך להתקין ולהגדיר את מודול Edge SSO כך שישתמש ב-HTTP ביציאה 9099, כפי שמצוין במאפיין הבא בקובץ התצורה:

SSO_TOMCAT_PROFILE=DEFAULT

לחלופין, אפשר להגדיר את SSO_TOMCAT_PROFILE לאחד מהערכים הבאים כדי להפעיל גישה ל-HTTPS:

SSL_PROXY – הגדרת apigee-sso במצב שרת proxy, כלומר התקנתם מאזן עומסים מול apigee-sso והפסקתם את TLS במאזן העומסים. לאחר מכן מציינים את היציאה שבה נעשה שימוש ב-apigee-sso לבקשות ממאזן העומסים.
SSL_TERMINATION – הפעלת גישה ל-TLS אל apigee-sso, מודול ה-SSO של Edge, ביציאה שבחרתם. צריך לציין מאגר מפתחות למצב הזה שמכיל אישור שנחתם על ידי רשות אישורים (CA). אי אפשר להשתמש באישור עם חתימה עצמית.

אפשר להפעיל את HTTPS בזמן ההתקנה הראשונית וההגדרה של apigee-sso, או להפעיל אותו מאוחר יותר.

הפעלת גישה ל-HTTPS אל apigee-sso בכל אחד מהמצבים משביתה את הגישה ל-HTTP. כלומר, אי אפשר לגשת ל-apigee-sso באמצעות HTTP וגם באמצעות HTTPS בו-זמנית.

הערה: אם מגדירים גישה ל-HTTPS אל apigee-sso, חשוב לעדכן את כל כתובות ה-URL שבהן משתמש ממשק המשתמש של Edge וה-IdP כך שישתמשו ב-HTTPS. בנוסף, אם בוחרים להפעיל HTTPS ביציאה שאינה 9099, צריך לוודא שמעדכנים את ממשק המשתמש ואת ה-IDP כך שישתמשו במספר היציאה הנכון.

הפעלת מצב SSL_PROXY

במצב SSL_PROXY, המערכת משתמשת במאזן עומסים מול מודול ה-SSO של Edge ומפסיקה את TLS במאזן העומסים. באיור הבא, מאזן העומסים מסיים את ה-TLS ביציאה 443, ולאחר מכן מעביר את הבקשות למודול Edge SSO ביציאה 9099:

בתצורה הזו, אתם סומכים על החיבור ממאזן העומסים למודול ה-SSO של Edge, ולכן אין צורך להשתמש ב-TLS בחיבור הזה. עם זאת, ישויות חיצוניות, כמו ה-IdP של SAML, צריכות עכשיו לגשת למודול ה-SSO של Edge ביציאה 443, ולא ביציאה 9099 הלא מוגנת.

הסיבה להגדרת מודול ה-SSO של Edge במצב SSL_PROXY היא שמודול ה-SSO של Edge יוצר באופן אוטומטי כתובות URL להפניה אוטומטית ש-IdP משתמש בהן באופן חיצוני כחלק מתהליך האימות. לכן, כתובות ה-URL להפניה אוטומטית חייבות לכלול את מספר היציאה החיצוני במאזן העומסים, 443 בדוגמה הזו, ולא את היציאה הפנימית במודול Edge SSO, 9099.

הערה: אין צורך ליצור אישור וגם מפתח TLS למצב SSL_PROXY, כי החיבור ממאזן העומסים למודול Edge SSO מתבצע באמצעות HTTP.

כדי להגדיר את מודול ה-SSO של Edge למצב SSL_PROXY:

מוסיפים את ההגדרות הבאות לקובץ התצורה:

# Enable SSL_PROXY mode.
SSO_TOMCAT_PROFILE=SSL_PROXY

# Specify the apigee-sso port, typically between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9099

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to auto-generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

מגדירים את מודול ה-SSO של Edge:

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

מעדכנים את ההגדרות של ה-IdP כך שיישלח בקשת HTTPS ביציאה 443 של מאזן העומסים כדי לגשת ל-Edge SSO. מידע נוסף זמין במאמר הגדרת ה-IdP של SAML.
כדי לעדכן את ההגדרות של ממשק המשתמש של Edge ל-HTTPS, מגדירים את המאפיינים הבאים בקובץ התצורה:
```
SSO_PUBLIC_URL_PORT=443
SSO_PUBLIC_URL_SCHEME=https
```
לאחר מכן מעדכנים את ממשק המשתמש של Edge:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-sso -f configFile
```
מידע נוסף זמין במאמר הפעלת SAML בממשק המשתמש של Edge.
אם התקנתם את הפורטל של Apigee Developer Services (או פשוט הפורטל), עליכם לעדכן אותו כך שישתמש ב-HTTPS כדי לגשת ל-Ede SSO. מידע נוסף זמין במאמר הגדרת הפורטל לשימוש ב-SAML כדי לתקשר עם Edge

הפעלת מצב SSL_TERMINATION

במצב SSL_TERMINATION, צריך:

יצירה של אישור ושל מפתח TLS ושמירתם בקובץ של מאגר מפתחות. אי אפשר להשתמש באישור עם חתימה עצמית. צריך ליצור אישור מ-CA.
עדכון הגדרות התצורה של apigee-sso.

כדי ליצור קובץ של מאגר מפתחות מהאישור והמפתח:

יוצרים ספרייה לקובץ ה-JKS:

sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

עוברים לספרייה החדשה:

cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

יוצרים קובץ JKS שמכיל את האישור והמפתח. צריך לציין מאגר מפתחות למצב הזה שמכיל אישור שנחתם על ידי רשות אישורים (CA). לא ניתן להשתמש באישור עם חתימה עצמית. דוגמה ליצירת קובץ JKS מופיעה במאמר הגדרת TLS/SSL ל-Edge On Premises.

הופכים את קובץ ה-JKS לבעלות המשתמש 'apigee':

sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

כדי להגדיר את מודול ה-SSO של Edge:

מוסיפים את ההגדרות הבאות לקובץ התצורה:

# Enable SSL_TERMINATION mode.
SSO_TOMCAT_PROFILE=SSL_TERMINATION

# Specify the path to the keystore file.
SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks

SSO_TOMCAT_KEYSTORE_ALIAS=sso

# The password specified when you created the keystore.
SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

# Specify the HTTPS port number between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9443
SSO_PUBLIC_URL_PORT=9443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

מגדירים את מודול ה-SSO של Edge:

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

מעדכנים את ההגדרה של ה-IdP כך שתתבצע בקשת HTTPS ביציאה 9443 של מאזן העומסים כדי לגשת ל-Edge SSO. מידע נוסף זמין במאמר הגדרת ה-IdP של SAML.
כדי לעדכן את ההגדרות של ממשק המשתמש של Edge ל-HTTPS, מגדירים את המאפיינים הבאים:
```
SSO_PUBLIC_URL_PORT=9443
SSO_PUBLIC_URL_SCHEME=https
```
מידע נוסף זמין במאמר הפעלת SAML בממשק המשתמש של Edge.
אם התקנתם את פורטל השירותים למפתחים, עליכם לעדכן אותו כך שישתמש ב-HTTPS כדי לגשת ל-Ede SSO. מידע נוסף זמין במאמר הגדרת הפורטל של Developer Services לשימוש ב-SAML לתקשורת עם Edge.

הגדרת SSO_TOMCAT_PROXY_PORT כשמשתמשים במצב SSL_TERMINATION

יכול להיות שיש לכם מאזן עומסים לפני מודול Edge SSO שמפסיק את TLS במאזן העומסים, אבל גם מפעיל TLS בין מאזן העומסים לבין Edge SSO. באיור שלמעלה, במצב SSL_PROXY המשמעות היא שהחיבור ממאזן העומסים אל Edge SSO מתבצע באמצעות TLS.

בתרחיש הזה, מגדירים את TLS ב-Edge SSO בדיוק כמו שמגדירים אותו למצב SSL_TERMINATION. עם זאת, אם במאזן העומסים נעשה שימוש במספר יציאה שונה ל-TLS מזה שבו נעשה שימוש ב-Edge SSO ל-TLS, צריך לציין גם את המאפיין SSO_TOMCAT_PROXY_PORT בקובץ התצורה. לדוגמה:

מאזן העומסים מסיים את ה-TLS ביציאה 443
Edge SSO מסיים את TLS ביציאה 9443

חשוב לכלול את ההגדרה הבאה בקובץ התצורה:

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

מגדירים את ה-IDP ואת ממשק המשתמש של Edge כך שישלחו בקשות HTTPS ביציאה 443.