Ta strona została przetłumaczona przez Cloud Translation API.

Skonfiguruj apigee-sso pod kątem dostępu przez HTTPS

Edge for Private Cloud w wersji 4.18.05

W artykule Instalacja i konfigurowanie logowania jednokrotnego dla przeglądarki Edge opisano, jak zainstalować i skonfigurować moduł logowania jednokrotnego na serwerach brzegowych do korzystania z protokołu HTTP na porcie 9099, zgodnie z tą właściwością w pliku konfiguracji:

SSO_TOMCAT_PROFILE=DEFAULT

Aby włączyć dostęp HTTPS, możesz też ustawić SSO_TOMCAT_PROFILE na jedną z tych wartości:

SSL_PROXY – konfiguruje apigee-sso w trybie proxy, co oznacza, że został zainstalowany system równoważenia obciążenia przed apigee-sso, a protokół TLS w systemie równoważenia obciążenia został zakończony. Następnie określasz port używany w apigee-sso na potrzeby żądań z systemu równoważenia obciążenia.
SSL_TERMINATION – na wybranym porcie włączono dostęp TLS do apigee-sso, modułu logowania na serwerach brzegowych. W tym trybie musisz podać magazyn kluczy, który zawiera certyfikat podpisany przez urząd certyfikacji. Nie możesz używać samodzielnie podpisanego certyfikatu.

Protokół HTTPS możesz włączyć podczas początkowej instalacji i konfiguracji apigee-sso albo później.

Włączenie dostępu HTTPS do zasobu apigee-sso w jednym z tych trybów wyłącza dostęp HTTP. Oznacza to, że nie możesz uzyskać dostępu do apigee-sso jednocześnie przez HTTP i HTTPS.

Uwaga: jeśli skonfigurujesz dostęp HTTPS do apigee-sso, pamiętaj o zaktualizowaniu wszystkich adresów URL używanych w interfejsie użytkownika Edge i dostawcy tożsamości tak, aby używały protokołu HTTPS. Jeśli chcesz włączyć HTTPS na porcie innym niż 9099, pamiętaj o zaktualizowaniu interfejsu użytkownika i dostawcy tożsamości przy użyciu prawidłowego numeru portu.

Włącz tryb SSL_PROXY

W trybie SSL_PROXY Twój system używa systemu równoważenia obciążenia przed modułem logowania brzegowego na serwerach brzegowych i wyłącza protokół TLS w systemie równoważenia obciążenia. Na poniższym przykładzie system równoważenia obciążenia wyłącza TLS na porcie 443, a następnie przekierowuje żądania do modułu Edge SSO na porcie 9099:

W tej konfiguracji ufasz połączeniu między systemem równoważenia obciążenia a modułem logowania na serwerach brzegowych, więc nie ma potrzeby używania protokołu TLS w przypadku tego połączenia. Jednak jednostki zewnętrzne, takie jak dostawca tożsamości SAML, teraz muszą uzyskać dostęp do modułu logowania jednokrotnego na serwerach brzegowych przez port 443, a nie przez niechroniony port 9099.

Moduł logowania jednokrotnego na serwerach brzegowych w trybie SSL_PROXY automatycznie generuje przekierowania używane zewnętrznie przez dostawcę tożsamości w ramach procesu uwierzytelniania. Dlatego też te przekierowania muszą zawierać numer zewnętrznego portu w systemie równoważenia obciążenia 443 w tym przykładzie, a nie port wewnętrzny w module Edge SSO (9099).

Uwaga: nie musisz tworzyć certyfikatu ani klucza TLS dla trybu SSL_PROXY, ponieważ połączenie między systemem równoważenia obciążenia a modułem Edge SSO używa protokołu HTTP.

Aby skonfigurować moduł logowania na serwerach brzegowych pod kątem trybu SSL_PROXY:

Dodaj do pliku konfiguracyjnego te ustawienia:

# Enable SSL_PROXY mode.
SSO_TOMCAT_PROFILE=SSL_PROXY

# Specify the apigee-sso port, typically between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9099

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to auto-generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

Skonfiguruj moduł Edge SSO:

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

Zaktualizuj konfigurację dostawcy tożsamości, aby wysyłać żądanie HTTPS przez port 443 systemu równoważenia obciążenia w celu uzyskania dostępu do logowania jednokrotnego na serwerach brzegowych. Więcej informacji znajdziesz w artykule Konfigurowanie dostawcy tożsamości SAML.
Zaktualizuj konfigurację interfejsu Edge dla HTTPS przez ustawienie tych właściwości w pliku konfiguracyjnym:
```
SSO_PUBLIC_URL_PORT=443
SSO_PUBLIC_URL_SCHEME=https
```
Następnie zaktualizuj interfejs Edge:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-sso -f configFile
```
Więcej informacji znajdziesz w artykule Włączanie SAML w interfejsie użytkownika Edge.
Jeśli masz zainstalowany portal Apigee Developer Services (lub po prostu portal), zaktualizuj go, aby używać protokołu HTTPS do uzyskiwania dostępu do logowania jednokrotnego w Ede. Więcej informacji znajdziesz w artykule o konfigurowaniu portalu do komunikowania się z Edge przy użyciu SAML

Włącz tryb SSL_TERMINATION

W przypadku trybu SSL_TERMINATION musisz:

Wygenerowano certyfikat i klucz TLS oraz przechowywanie ich w pliku magazynu kluczy. Nie możesz użyć certyfikatu podpisanego samodzielnie. Musisz wygenerować certyfikat z urzędu certyfikacji.
Zaktualizuj ustawienia konfiguracji instancji apigee-sso.

Aby utworzyć plik magazynu kluczy na podstawie certyfikatu i klucza:

Utwórz katalog dla pliku JKS:

sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

Przejdź do nowego katalogu:

cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

Utwórz plik JKS zawierający certyfikat i klucz. W tym trybie musisz określić magazyn kluczy zawierający certyfikat podpisany przez urząd certyfikacji. Nie możesz używać samodzielnie podpisanego certyfikatu. Przykład tworzenia pliku JKS znajdziesz w artykule o konfigurowaniu TLS/SSL dla przeglądarki Edge On.

Ustaw plik JKS na własność użytkownika „apigee”:

sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

Aby skonfigurować moduł logowania jednokrotnego na serwerach brzegowych:

Dodaj do pliku konfiguracyjnego te ustawienia:

# Enable SSL_TERMINATION mode.
SSO_TOMCAT_PROFILE=SSL_TERMINATION

# Specify the path to the keystore file.
SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks

SSO_TOMCAT_KEYSTORE_ALIAS=sso

# The password specified when you created the keystore.
SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

# Specify the HTTPS port number between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9443
SSO_PUBLIC_URL_PORT=9443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

Skonfiguruj moduł Edge SSO:

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

Zaktualizuj konfigurację dostawcy tożsamości, aby wysyłać żądanie HTTPS na porcie 9443 systemu równoważenia obciążenia w celu uzyskania dostępu do logowania jednokrotnego na serwerach brzegowych. Więcej informacji znajdziesz w artykule Konfigurowanie dostawcy tożsamości SAML.
Zaktualizuj konfigurację interfejsu Edge dla HTTPS przez ustawienie tych właściwości:
```
SSO_PUBLIC_URL_PORT=9443
SSO_PUBLIC_URL_SCHEME=https
```
Więcej informacji znajdziesz w artykule Włączanie SAML w interfejsie użytkownika Edge.
Jeśli masz zainstalowany portal usług dla deweloperów, zaktualizuj go, aby używać protokołu HTTPS do uzyskiwania dostępu do logowania jednokrotnego w Ede. Więcej informacji znajdziesz w artykule o konfigurowaniu portalu usług dla programistów do komunikowania się z Edge przy użyciu SAML.

Ustawianie logowania jednokrotnego_TOMCAT_PROXY_PORT w trybie SSL_TERMINATION

Przed modułem logowania brzegowego możesz umieścić system równoważenia obciążenia, który wyłącza TLS w systemie równoważenia obciążenia, ale jednocześnie włącza protokół TLS między systemem równoważenia obciążenia a funkcją logowania brzegowego. Na ilustracji powyżej dla trybu SSL_PROXY oznacza to, że połączenie z systemu równoważenia obciążenia z brzegowym logowaniem jednokrotnym używa protokołu TLS.

W tym scenariuszu konfigurujesz TLS w przeglądarce Edge tak samo jak powyżej dla trybu SSL_TERMINATION. Jeśli jednak system równoważenia obciążenia używa innego numeru portu TLS niż logowanie jednokrotne na serwerach brzegowych dla protokołu TLS, musisz również określić w pliku konfiguracji właściwość SSO_TOMCAT_PROXY_PORT. Na przykład:

System równoważenia obciążenia zamyka protokół TLS przez port 443
Logowanie jednokrotne na brzegu sieci zatrzymuje protokół TLS na porcie 9443

Pamiętaj, aby w pliku konfiguracyjnym umieścić to ustawienie:

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

Skonfiguruj dostawcę tożsamości i interfejs użytkownika Edge pod kątem wysyłania żądań HTTPS przez port 443.