Private Cloud için Edge v4.18.05
Edge TOA'yı yükleme ve yapılandırma bölümünde, Edge TOA modülünün nasıl yükleneceği ve yapılandırılacağı açıklanmaktadır. Bu modül, yapılandırma dosyasında aşağıdaki mülkle belirtildiği gibi 9099 numaralı bağlantı noktasında HTTP kullanacak şekilde yapılandırılır:
SSO_TOMCAT_PROFILE=DEFAULT
Alternatif olarak, HTTPS erişimini etkinleştirmek için SSO_TOMCAT_PROFILE değerini aşağıdakilerden birine ayarlayabilirsiniz:
- SSL_PROXY:
apigee-sso'yi proxy modunda yapılandırır. Yaniapigee-sso'nin önüne bir yük dengeleyici yüklemiş ve yük dengeleyicide TLS'yi sonlandırmışsınız demektir. Ardından, yük dengeleyiciden gelen istekler içinapigee-ssoüzerinde kullanılan bağlantı noktasını belirtirsiniz. - SSL_TERMINATION: Tercih ettiğiniz bağlantı noktasında Edge TOA modülü olan
apigee-ssoiçin TLS erişimi etkinleştirildi. Bu mod için bir CA tarafından imzalanmış sertifika içeren bir anahtar mağazası belirtmeniz gerekir. Kendinden imzalı sertifika kullanamazsınız.
HTTPS'yi ilk kez yükleyip yapılandırırken veya daha sonra etkinleştirmeyi seçebilirsiniz.apigee-sso
Her iki modu da kullanarak apigee-sso için HTTPS erişimini etkinleştirmek, HTTP erişimini devre dışı bırakır. Yani apigee-sso'e hem HTTP hem de HTTPS'yi aynı anda kullanarak erişemezsiniz.
SSL_PROXY modunu etkinleştirme
SSL_PROXY modunda, sisteminiz Edge TOA modülünün önünde bir yük dengeleyici kullanır ve TLS'yi yük dengeleyicide sonlandırır. Aşağıdaki şekilde, yük dengeleyici 443 bağlantı noktasında TLS'yi sonlandırır ve ardından istekleri 9099 bağlantı noktasındaki Edge TOA modülüne iletir:
Bu yapılandırmada, yük dengeleyiciden Edge SSO modülüne giden bağlantıya güvendiğiniz için bu bağlantı için TLS'yi kullanmanız gerekmez. Ancak SAML IdP gibi harici öğelerin artık Edge TOA modülüne 9099 numaralı korumasız bağlantı noktasından değil, 443 numaralı bağlantı noktasından erişmesi gerekir.
Edge TOA modülünün SSL_PROXY modunda yapılandırılması, kimlik doğrulama sürecinin bir parçası olarak IdP tarafından harici olarak kullanılan yönlendirme URL'lerini otomatik olarak oluşturmasından kaynaklanır.
Bu nedenle, bu yönlendirme URL'leri Edge SSO modülündeki dahili bağlantı noktası numarasını (9099) değil, yük dengeleyicideki harici bağlantı noktası numarasını (bu örnekte 443) içermelidir.
Not: Yük dengeleyiciden Edge TOA modülüne olan bağlantı HTTP kullandığından SSL_PROXY modu için TLS sertifikası ve anahtarı oluşturmanız gerekmez.
Edge TOA modülünü SSL_PROXY modu için yapılandırmak üzere:
- Yapılandırma dosyanıza aşağıdaki ayarları ekleyin:
# Enable SSL_PROXY mode. SSO_TOMCAT_PROFILE=SSL_PROXY # Specify the apigee-sso port, typically between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9099 # Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to auto-generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- Edge TOA modülünü yapılandırın:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- Edge TOA'ya erişmek için IdP yapılandırmanızı, yük dengeleyicinin 443 numaralı bağlantı noktasında HTTPS isteği yapacak şekilde güncelleyin. Daha fazla bilgi için SAML IdP'nizi yapılandırma başlıklı makaleyi inceleyin.
- Yapılandırma dosyasında aşağıdaki özellikleri ayarlayarak Edge kullanıcı arayüzü yapılandırmanızı HTTPS için güncelleyin:
SSO_PUBLIC_URL_PORT=443 SSO_PUBLIC_URL_SCHEME=https
Ardından Edge kullanıcı arayüzünü güncelleyin:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-sso -f configFile
Daha fazla bilgi için Edge kullanıcı arayüzünde SAML'yi etkinleştirme başlıklı makaleyi inceleyin.
- Apigee Developer Services portalını (veya kısaca portalı) yüklediyseniz Ede TOA'ya erişmek için HTTPS kullanacak şekilde güncelleyin. Daha fazla bilgi için Portalı, Edge ile iletişim kurmak için SAML'i kullanacak şekilde yapılandırma başlıklı makaleyi inceleyin.
SSL_TERMINATION modunu etkinleştirme
SSL_TERMINATION modu için:
- TLS sertifikası ve anahtarı oluşturup bunları bir anahtar deposu dosyasında saklayın. Kendinden imzalı sertifika kullanamazsınız. Bir CA'dan sertifika oluşturmanız gerekir.
apigee-sso.için yapılandırma ayarlarını güncelleme
Sertifikanızdan ve anahtarınızdan anahtar deposu dosyası oluşturmak için:
- JKS dosyası için bir dizin oluşturun:
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- Yeni dizine geçin:
cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- Sertifikayı ve anahtarı içeren bir JKS dosyası oluşturun. Bu mod için bir anahtar mağazası belirtmeniz gerekir. Bu anahtar mağazasında, CA tarafından imzalanmış bir sertifika bulunmalıdır. Kendinden imzalı sertifika kullanamazsınız. JKS dosyası oluşturma örneği için Edge On Premises için TLS/SSL'yi yapılandırma başlıklı makaleyi inceleyin.
- JKS dosyasını "apigee" kullanıcısına ait hale getirin:
sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl
Edge TOA modülünü yapılandırmak için:
- Yapılandırma dosyanıza aşağıdaki ayarları ekleyin:
# Enable SSL_TERMINATION mode. SSO_TOMCAT_PROFILE=SSL_TERMINATION # Specify the path to the keystore file. SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks SSO_TOMCAT_KEYSTORE_ALIAS=sso # The password specified when you created the keystore. SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword # Specify the HTTPS port number between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9443 SSO_PUBLIC_URL_PORT=9443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- Edge TOA modülünü yapılandırın:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- Edge TOA'ya erişmek için IdP yapılandırmanızı, yük dengeleyicinin 9443 numaralı bağlantı noktasında HTTPS isteği gönderecek şekilde güncelleyin. Daha fazla bilgi için SAML IdP'nizi yapılandırma başlıklı makaleyi inceleyin.
- Aşağıdaki özellikleri ayarlayarak Edge kullanıcı arayüzü yapılandırmanızı HTTPS için güncelleyin:
SSO_PUBLIC_URL_PORT=9443 SSO_PUBLIC_URL_SCHEME=https
Daha fazla bilgi için Edge kullanıcı arayüzünde SAML'yi etkinleştirme başlıklı makaleyi inceleyin.
- Geliştirici Hizmetleri portalını yüklediyseniz Ede TOA'ya erişmek için HTTPS kullanacak şekilde güncelleyin. Daha fazla bilgi için Geliştirici Hizmetleri portalını, Edge ile iletişim kurmak için SAML'i kullanacak şekilde yapılandırma başlıklı makaleyi inceleyin.
SSL_TERMINATION modunu kullanırken SSO_TOMCAT_PROXY_PORT ayarlama
Edge TOA modülünün önünde, yük dengeleyicide TLS'yi sonlandıran ancak yük dengeleyici ile Edge TOA arasında TLS'yi etkinleştiren bir yük dengeleyiciniz olabilir. Yukarıdaki resimde SSL_PROXY modu için bu, yük dengeleyiciden Edge TOA'ya giden bağlantının TLS kullandığı anlamına gelir.
Bu senaryoda, Edge TOA'da TLS'yi yukarıda SSL_TERMINATION modu için yaptığınız gibi yapılandırırsınız. Ancak yük dengeleyici, TLS için Edge SSO'nun kullandığından farklı bir TLS bağlantı noktası numarası kullanıyorsa yapılandırma dosyasında SSO_TOMCAT_PROXY_PORT mülkünü de belirtmeniz gerekir. Örneğin:
- Yük dengeleyici, 443 numaralı bağlantı noktasında TLS'yi sonlandırıyor
- Edge TOA, 9443 numaralı bağlantı noktasında TLS'yi sonlandırıyor
Yapılandırma dosyasına aşağıdaki ayarı eklediğinizden emin olun:
# Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443
IDP ve Edge kullanıcı arayüzünü 443 numaralı bağlantı noktasında HTTPS isteği yapacak şekilde yapılandırın.