Edge for Private Cloud v4.18.05
Nachdem Sie SAML in Edge aktiviert haben, können Sie die Basisauthentifizierung deaktivieren. Bevor Sie die einfache Authentifizierung deaktivieren:
- Achten Sie darauf, dass Sie Ihrem SAML-IdP alle Edge-Nutzer, einschließlich Systemadministratoren, hinzugefügt haben.
- Achten Sie darauf, dass Sie die SAML-Authentifizierung in der Edge-Benutzeroberfläche und der Edge Management API gründlich getestet haben.
- Wenn Sie das Apigee Developer Services-Portal (oder einfach das Portal) verwenden, konfigurieren und testen Sie SAML auf dem Portal, um sicherzustellen, dass das Portal eine Verbindung zu Edge herstellen kann. Weitere Informationen finden Sie unter Portal so konfigurieren, dass es SAML für die Kommunikation mit Edge verwendet.
Aktuelles Sicherheitsprofil aufrufen
Sie können das Edge-Sicherheitsprofil aufrufen, um die aktuelle Konfiguration zu ermitteln und festzustellen, ob die grundlegende Authentifizierung und SAML derzeit aktiviert sind. Verwenden Sie den folgenden Edge-Management-API-Aufruf auf dem Edge-Verwaltungsserver, um das aktuelle Sicherheitsprofil aufzurufen, das von Edge verwendet wird:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Wenn Sie SAML noch nicht konfiguriert haben, sieht die Antwort wie unten dargestellt aus. Das bedeutet, dass die grundlegende Authentifizierung aktiviert ist:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
Wenn Sie SAML bereits aktiviert haben, sehen Sie das Tag <ssoserver> in der Ausgabe:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
Beachten Sie, dass in der Version mit aktiviertem SAML auch <BasicAuthEnabled>true</BasicAuthEnabled> angezeigt wird, was bedeutet, dass die Basisauthentifizierung weiterhin aktiviert ist.
Basic Auth deaktivieren
Verwenden Sie den folgenden Aufruf der Edge Management API auf dem Edge Management Server, um Basic Auth zu deaktivieren. Hinweis: Als Nutzlast wird das im vorherigen Abschnitt zurückgegebene XML-Objekt übergeben. Der einzige Unterschied besteht darin, dass du <BasicAuthEnabled>false</BasicAuthEnabled> festlegst:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
Nach dem Deaktivieren von Basic Auth gibt jeder Edge-Verwaltungs-API-Aufruf, der Basic Auth-Anmeldedaten weitergibt, den folgenden Fehler zurück:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
Basic Auth wieder aktivieren
Wenn Sie die grundlegende Authentifizierung aus irgendeinem Grund wieder aktivieren müssen, gehen Sie so vor:
- Melden Sie sich bei einem beliebigen Edge ZooKeeper-Knoten an.
- Führen Sie das folgende Bash-Skript aus, um die gesamte Sicherheit zu deaktivieren:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Die Ausgabe sollte im folgenden Format angezeigt werden:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Aktivieren Sie die Basisauthentifizierung und die SAML-Authentifizierung wieder:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Sie können jetzt wieder die Basisauthentifizierung verwenden.