Trang này được dịch bởi Cloud Translation API.

Định cấu hình apigee-sso để truy cập HTTPS

Edge for Private Cloud v4.18.05

Phần Cài đặt và định cấu hình Edge SSO mô tả cách cài đặt và định cấu hình mô-đun Edge SSO để sử dụng HTTP trên cổng 9099, như được chỉ định bởi thuộc tính sau trong tệp cấu hình:

SSO_TOMCAT_PROFILE=DEFAULT

Ngoài ra, bạn có thể đặt SSO_TOMCAT_PROFILE thành một trong các giá trị sau để bật quyền truy cập HTTPS:

SSL_PROXY – Định cấu hình apigee-sso ở chế độ proxy, nghĩa là bạn đã cài đặt trình cân bằng tải trước apigee-sso và chấm dứt TLS trên trình cân bằng tải. Sau đó, bạn chỉ định cổng được sử dụng trên apigee-sso cho các yêu cầu từ bộ cân bằng tải.
SSL_TERMINATION – Đã bật quyền truy cập TLS vào apigee-sso, mô-đun SSO Edge, trên cổng mà bạn chọn. Bạn phải chỉ định một kho khoá cho chế độ này chứa một chứng chỉ do một CA ký. Bạn không thể sử dụng chứng chỉ tự ký.

Bạn có thể chọn bật HTTPS tại thời điểm cài đặt và định cấu hình apigee-sso ban đầu hoặc bật sau.

Việc bật quyền truy cập HTTPS vào apigee-sso bằng một trong hai chế độ sẽ tắt quyền truy cập HTTP. Tức là bạn không thể truy cập vào apigee-sso bằng cả HTTP và HTTPS cùng một lúc.

Lưu ý: Nếu bạn định cấu hình quyền truy cập HTTPS vào apigee-sso, hãy đảm bảo rằng bạn cập nhật mọi URL mà giao diện người dùng Edge và IDP của bạn sử dụng để sử dụng HTTPS. Ngoài ra, nếu bạn chọn bật HTTPS trên một cổng khác với 9099, hãy nhớ cập nhật giao diện người dùng và IDP để sử dụng đúng số cổng.

Bật chế độ SSL_PROXY

Ở chế độ SSL_PROXY, hệ thống của bạn sử dụng trình cân bằng tải trước mô-đun SSO Edge và chấm dứt TLS trên trình cân bằng tải. Trong hình sau, trình cân bằng tải chấm dứt TLS trên cổng 443, sau đó chuyển tiếp các yêu cầu đến mô-đun SSO Edge trên cổng 9099:

Trong cấu hình này, bạn tin tưởng kết nối từ bộ cân bằng tải đến mô-đun SSO Edge nên không cần sử dụng TLS cho kết nối đó. Tuy nhiên, các thực thể bên ngoài, chẳng hạn như IDP dựa trên SAML, hiện phải truy cập vào mô-đun SSO Edge trên cổng 443, chứ không phải trên cổng 9099 không được bảo vệ.

Lý do để định cấu hình mô-đun Edge SSO ở chế độ SSL_PROXY là do mô-đun Edge SSO tự động tạo URL chuyển hướng mà IDP sử dụng bên ngoài trong quy trình xác thực. Do đó, các URL chuyển hướng này phải chứa số cổng bên ngoài trên bộ cân bằng tải, 443 trong ví dụ này, chứ không phải cổng nội bộ trên mô-đun Edge SSO, 9099.

Lưu ý: Bạn không cần tạo chứng chỉ TLS và khoá cho chế độ SSL_PROXY vì kết nối từ trình cân bằng tải đến mô-đun SSO Edge sử dụng HTTP.

Cách định cấu hình mô-đun SSO Edge cho chế độ SSL_PROXY:

Thêm các chế độ cài đặt sau vào tệp cấu hình:

# Enable SSL_PROXY mode.
SSO_TOMCAT_PROFILE=SSL_PROXY

# Specify the apigee-sso port, typically between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9099

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to auto-generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

Định cấu hình mô-đun SSO Edge:

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

Cập nhật cấu hình IdP để tạo yêu cầu HTTPS trên cổng 443 của bộ cân bằng tải để truy cập vào Edge SSO. Hãy xem phần Định cấu hình IDP dựa trên SAML để biết thêm thông tin.
Cập nhật cấu hình giao diện người dùng Edge cho HTTPS bằng cách đặt các thuộc tính sau trong tệp cấu hình:
```
SSO_PUBLIC_URL_PORT=443
SSO_PUBLIC_URL_SCHEME=https
```
Sau đó, hãy cập nhật giao diện người dùng Edge:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-sso -f configFile
```
Hãy xem phần Bật SAML trên giao diện người dùng Edge để biết thêm thông tin.
Nếu bạn đã cài đặt cổng thông tin Dịch vụ dành cho nhà phát triển Apigee (hoặc đơn giản là cổng thông tin), hãy cập nhật cổng thông tin đó để sử dụng HTTPS nhằm truy cập vào Ede SSO. Để biết thêm thông tin, hãy xem phần Định cấu hình cổng thông tin để sử dụng SAML nhằm giao tiếp với Edge

Bật chế độ SSL_TERMINATION

Đối với chế độ SSL_TERMINATION, bạn phải:

Tạo chứng chỉ và khoá TLS rồi lưu trữ chúng trong tệp kho khoá. Bạn không thể sử dụng chứng chỉ tự ký. Bạn phải tạo chứng chỉ từ một CA.
Cập nhật chế độ cài đặt cấu hình cho apigee-sso.

Cách tạo tệp kho khoá từ chứng chỉ và khoá:

Tạo thư mục cho tệp JKS:

sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

Thay đổi thành thư mục mới:

cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

Tạo tệp JKS chứa chứng chỉ và khoá. Bạn phải chỉ định một kho khoá cho chế độ này chứa một chứng chỉ do CA ký. Bạn không thể sử dụng chứng chỉ tự ký. Để biết ví dụ về cách tạo tệp JKS, hãy xem phần Định cấu hình TLS/SSL cho Edge On Premises.

Đặt người dùng "apigee" làm chủ sở hữu tệp JKS:

sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

Cách định cấu hình mô-đun SSO Edge:

Thêm các chế độ cài đặt sau vào tệp cấu hình:

# Enable SSL_TERMINATION mode.
SSO_TOMCAT_PROFILE=SSL_TERMINATION

# Specify the path to the keystore file.
SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks

SSO_TOMCAT_KEYSTORE_ALIAS=sso

# The password specified when you created the keystore.
SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

# Specify the HTTPS port number between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9443
SSO_PUBLIC_URL_PORT=9443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

Định cấu hình mô-đun SSO Edge:

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

Cập nhật cấu hình IDP để tạo yêu cầu HTTPS trên cổng 9443 của bộ cân bằng tải để truy cập vào Edge SSO. Hãy xem phần Định cấu hình IDP dựa trên SAML để biết thêm thông tin.
Cập nhật cấu hình giao diện người dùng Edge cho HTTPS bằng cách thiết lập các thuộc tính sau:
```
SSO_PUBLIC_URL_PORT=9443
SSO_PUBLIC_URL_SCHEME=https
```
Hãy xem phần Bật SAML trên giao diện người dùng Edge để biết thêm thông tin.
Nếu bạn đã cài đặt cổng Dịch vụ dành cho nhà phát triển, hãy cập nhật cổng đó để sử dụng HTTPS nhằm truy cập vào Ede SSO. Để biết thêm thông tin, hãy xem bài viết Định cấu hình cổng thông tin Dịch vụ dành cho nhà phát triển để sử dụng SAML nhằm giao tiếp với Edge.

Đặt SSO_TOMCAT_PROXY_PORT khi sử dụng chế độ SSL_TERMINATION

Bạn có thể có một trình cân bằng tải phía trước mô-đun Edge SSO để chấm dứt TLS trên trình cân bằng tải nhưng cũng bật TLS giữa trình cân bằng tải và Edge SSO. Trong hình trên đối với chế độ SSL_PROXY, điều này có nghĩa là kết nối từ trình cân bằng tải đến Edge SSO sử dụng TLS.

Trong trường hợp này, bạn định cấu hình TLS trên Edge SSO giống như cách bạn đã làm ở trên cho chế độ SSL_TERMINATION. Tuy nhiên, nếu trình cân bằng tải sử dụng số cổng TLS khác với số cổng TLS mà Edge SSO sử dụng, thì bạn cũng phải chỉ định thuộc tính SSO_TOMCAT_PROXY_PORT trong tệp cấu hình. Ví dụ:

Trình cân bằng tải chấm dứt TLS trên cổng 443
Edge SSO chấm dứt TLS trên cổng 9443

Hãy nhớ đưa chế độ cài đặt sau vào tệp cấu hình:

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

Định cấu hình IDP và giao diện người dùng Edge để tạo các yêu cầu HTTPS trên cổng 443.