Edge para nuvem privada v4.18.05
Depois de ativar o SAML no Edge, você pode desativar a autenticação básica. No entanto, antes de desativar a autenticação básica:
- Verifique se você adicionou todos os usuários do Edge, incluindo administradores do sistema, ao IdP SAML.
- Verifique se você testou por completo a autenticação SAML na UI e no Gerenciamento de borda API.
- Se você estiver usando o portal Apigee Developer Services (ou simplesmente o portal), configure e teste o SAML no portal para garantir que o portal possa se conectar ao Edge. Consulte Como configurar o portal para usar o SAML para se comunicar com o Edge.
Como visualizar o perfil de segurança atual
É possível visualizar o perfil de segurança do Edge para determinar a configuração atual e saber se A autenticação básica e o SAML estão ativados. Use a seguinte chamada da API Edge Management na borda Management Server para visualizar o perfil de segurança atual usado pelo Edge:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Se você ainda não configurou o SAML, veja abaixo a resposta que indica que a Autenticação básica é ativado:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
Se você já tiver ativado o SAML, verá a tag <ssoserver> na
saída:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
A versão com SAML ativado também mostra <BasicAuthEnabled>true</BasicAuthEnabled> significa que a Autenticação básica é ainda ativado.
Desativar a autenticação básica
Use a seguinte chamada da API de gerenciamento de borda no servidor de gerenciamento de borda para desativar a edição Basic Autenticação Observe que você transmite como payload o objeto XML retornado na seção anterior. O único a diferença é que você define <BasicAuthEnabled>false</BasicAuthEnabled>:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'Depois que você desativar a autenticação básica, qualquer chamada da API de gerenciamento de borda que transmita as credenciais dessa autenticação retorna o seguinte erro:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>Reativar a autenticação básica
Se, por algum motivo, você precisar reativar a autenticação básica, siga estas etapas:
- Faça login em qualquer nó do Edge ZooKeeper.
- Execute este script bash para desativar toda a segurança:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Você verá a saída no formulário:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Reativar a autenticação básica e do SAML:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Agora você pode usar a autenticação básica novamente.