Edge for Private Cloud v4.18.05
Edge SSO のインストールと構成で、 次のプロパティを指定します。
SSO_TOMCAT_PROFILE=DEFAULT
または、SSO_TOMCAT_PROFILE
を次のいずれかに設定することもできます。
値を使用して HTTPS アクセスを有効にします。
- SSL_PROXY - プロキシモードで
apigee-sso
を構成します。つまり、apigee-sso
の前にロードバランサをインストールし、その負荷で TLS を終端 内部 IP アドレスを使用します次に、読み込みのリクエスト用にapigee-sso
で使用するポートを指定します。 内部 IP アドレスを使用します - SSL_TERMINATION - 有効な TLS アクセス:
Edge SSO モジュールである
apigee-sso
ポートを選択できますこのモードでは、 。自己署名証明書は使用できません。
最初のインストールと構成時に HTTPS を有効にすることもできます。
apigee-sso
。後で有効にすることもできます。
いずれかのモードを使用して apigee-sso
への HTTPS アクセスを有効にすると、HTTP が無効になります
できます。つまり、HTTP と HTTPS の両方を使用して apigee-sso
にアクセスすることはできません。
できます。
SSL_PROXY モードを有効にする
SSL_PROXY
モードでは、システムは
Edge SSO モジュールの前にロードバランサを使用し、そのロードバランサで TLS を終端します。イン
次の図では、ロードバランサは TLS をポート 443 で終端し、リクエストを
Edge SSO モジュールをポート 9099 で接続します。
この構成では、ロードバランサから Edge SSO モジュールへの接続を信頼します。 そのため、その接続に TLS を使用する必要はありません。ただし、SAML などの外部エンティティは IDP は、保護されていないポート 9099 ではなく、ポート 443 で Edge SSO モジュールにアクセスする必要があります。
Edge SSO モジュールを SSL_PROXY
モードで構成する理由は、Edge SSO モジュールが
は、認証プロセスの一環として、IDP が外部で使用するリダイレクト URL を自動生成します。
したがって、これらのリダイレクト URL には、ロードバランサの外部ポート番号 443 を
Edge SSO モジュールの内部ポートである 9099 ではありません。
注: TLS 証明書と鍵を作成する必要はありません。
SSL_PROXY
モードは、ロードバランサから Edge SSO モジュールへの接続が
HTTP を使用します。
Edge SSO モジュールを SSL_PROXY
モードに構成するには:
- 構成ファイルに次の設定を追加します。
# Enable SSL_PROXY mode. SSO_TOMCAT_PROFILE=SSL_PROXY # Specify the apigee-sso port, typically between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9099 # Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to auto-generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- Edge SSO モジュールを構成します。
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- IdP の構成を更新して、負荷のポート 443 で HTTPS リクエストを行うようにします。 アクセスすることもできます。SAML を構成する IDP をご覧ください。
- 構成ファイルで次のプロパティを設定して、HTTPS 用に Edge UI 構成を更新します。
SSO_PUBLIC_URL_PORT=443 SSO_PUBLIC_URL_SCHEME=https
次に、Edge UI を更新します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-sso -f configFile
詳細については、Edge UI で SAML を有効にするをご覧ください。
- Apigee Developer Services ポータル(略して「ポータル」)をインストールした場合は、HTTPS を使用するようにポータルを更新します。 アクセスします。詳細については、次をご覧ください。 SAML を使用して Edge と通信するようにポータルを構成する
SSL_TERMINATION モードを有効にする
SSL_TERMINATION
モードの場合は、次のことを行う必要があります。
- TLS 証明書と鍵を生成してキーストア ファイルに保存する。 自己署名証明書を使用できます。CA からの証明書を生成する必要があります。
apigee-sso.
の構成を更新する
証明書と鍵からキーストア ファイルを作成するには:
- JKS ファイル用のディレクトリを作成します。
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- 新しいディレクトリに移動します。
cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- 証明書と鍵を含む JKS ファイルを作成します。このモードではキーストアを指定する必要があります 証明書ファイルが作成されます自己署名証明書は使用できません。たとえば 作成方法については、Google Cloud で TLS/SSL の オンプレミスのエッジ。
- JKS ファイルの所有者を「apigee」にするユーザー:
sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl
Edge SSO モジュールを構成するには:
- 構成ファイルに次の設定を追加します。
# Enable SSL_TERMINATION mode. SSO_TOMCAT_PROFILE=SSL_TERMINATION # Specify the path to the keystore file. SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks SSO_TOMCAT_KEYSTORE_ALIAS=sso # The password specified when you created the keystore. SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword # Specify the HTTPS port number between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9443 SSO_PUBLIC_URL_PORT=9443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- Edge SSO モジュールを構成します。
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- IdP の構成を更新して、負荷のポート 9443 で HTTPS リクエストを行うようにします。 アクセスすることもできます。SAML を構成する IDP をご覧ください。
- 次のプロパティを設定して、HTTPS 用に Edge UI 構成を更新します。
SSO_PUBLIC_URL_PORT=9443 SSO_PUBLIC_URL_SCHEME=https
詳細については、Edge UI で SAML を有効にするをご覧ください。
- Developer Services ポータルをインストール済みの場合は、HTTPS を使用するようにポータルを更新して、 アクセスします。詳細については、アプリケーションの Developer Services ポータルで SAML を使用して Edge と通信するをご覧ください。
SSL_TERMINATION モード使用時の SSO_TOMCAT_PROXY_PORT の設定
Edge SSO モジュールの前にロードバランサを配置して、負荷時に TLS を終端させる
ロードバランサと Edge SSO の間の TLS も有効にします。上の図では、
SSL_PROXY
モードの場合、ロードバランサから Edge SSO への接続には、
TLS です。
このシナリオでは、上記の
SSL_TERMINATION
モード。ただし、
使用している TLS ポート番号が、Edge SSO が TLS に使用するものと異なる場合は、
構成ファイルの SSO_TOMCAT_PROXY_PORT
プロパティ。例:
- ロードバランサは、TLS をポート 443 で終端します。
- Edge SSO がポート 9443 で TLS を終端する
構成ファイルに次の設定が含まれていることを確認してください。
# Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443
ポート 443 で HTTPS リクエストを行うように IDP と Edge UI を構成します。