Basisauthentifizierung für Edge deaktivieren

Edge for Private Cloud v4.18.05

Nachdem Sie SAML in Edge aktiviert haben, können Sie Basic Auth deaktivieren. Bevor Sie jedoch Deaktivieren Sie Basic Auth:

  • Vergewissern Sie sich, dass Sie alle Edge-Nutzer, einschließlich Systemadministratoren, zu Ihrem SAML-IdP hinzugefügt haben.
  • Achten Sie darauf, dass Sie die SAML-Authentifizierung in der Edge-Benutzeroberfläche und in der Edge-Verwaltung gründlich getestet haben der API erstellen.
  • Wenn Sie das Apigee Developer Services-Portal (oder einfach das Portal) verwenden, konfigurieren und testen Sie SAML auf dem Portal, um um sicherzustellen, dass das Portal eine Verbindung zu Edge herstellen kann. Weitere Informationen finden Sie unter Konfiguration der über SAML zur Kommunikation mit Edge.

Aktuelles Sicherheitsprofil ansehen

Sie können das Edge-Sicherheitsprofil aufrufen, um die aktuelle Konfiguration zu ermitteln und festzustellen, ob Basic Auth und SAML sind derzeit aktiviert. Verwenden Sie den folgenden Edge-Verwaltungs-API-Aufruf auf dem Edge. Management Server, um das aktuelle von Edge verwendete Sicherheitsprofil anzuzeigen:

curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Wenn Sie SAML noch nicht konfiguriert haben, lautet die Antwort wie unten dargestellt. Dies bedeutet, dass Basic Auth aktiviert:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Wenn Sie SAML bereits aktiviert haben, sehen Sie das Tag <ssoserver> in der Ausgabe:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

In der Version mit aktiviertem SAML wird auch &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt; bedeutet, dass Basic Auth immer noch aktiviert ist.

Basic Auth deaktivieren

Verwenden Sie den folgenden Edge-Verwaltungs-API-Aufruf auf dem Edge-Verwaltungsserver, um Basic zu deaktivieren Auth. Beachten Sie, dass Sie das im vorherigen Abschnitt zurückgegebene XML-Objekt als Nutzlast übergeben. Die einzige besteht darin, dass Sie &lt;BasicAuthEnabled&gt;false&lt;/BasicAuthEnabled&gt;:

curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Nach dem Deaktivieren von Basic Auth kann jeder Edge-Verwaltungs-API-Aufruf, der Basic Auth-Anmeldedaten weitergibt, gibt den folgenden Fehler zurück:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Basic Auth wieder aktivieren

Wenn Sie Basic Auth aus irgendeinem Grund wieder aktivieren müssen, führen Sie die folgenden Schritte aus:

  1. Melden Sie sich bei einem beliebigen Edge ZooKeeper-Knoten an.
  2. Führen Sie das folgende Bash-Skript aus, um alle Sicherheitsfunktionen zu deaktivieren:
    #! /bin/bash
    /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
    set /system/securityprofile <SecurityProfile></SecurityProfile>
    quit
    EOF

    Die Ausgabe sieht so aus:

    Connecting to localhost:2181
    Welcome to ZooKeeper!
    JLine support is enabled
    WATCHER::
    WatchedEvent state:SyncConnected
    type:None path:null
    [zk: localhost:2181(CONNECTED) 0]
    set /system/securityprofile <SecurityProfile></SecurityProfile>
    cZxid = 0x89
    ...
    [zk: localhost:2181(CONNECTED) 1] quit
    Quitting...
  3. Basic Auth und SAML-Authentifizierung wieder aktivieren:
    curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile
      -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile">
      <UserAccessControl enabled="true">
      <SSOServer>
      <BasicAuthEnabled>true</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
      </SSOServer>
      </UserAccessControl>
      </SecurityProfile>'

    Sie können jetzt wieder Basic Auth verwenden.