Cette page a été traduite par l'API Cloud Translation.

Désactiver l'authentification de base sur Edge

Edge pour Private Cloud v4.18.05

Une fois que vous avez activé SAML sur Edge, vous pouvez désactiver l'authentification de base. Toutefois, avant de désactiver l'authentification de base:

Assurez-vous d'avoir ajouté tous les utilisateurs Edge, y compris les administrateurs système, à votre fournisseur d'identité SAML.
Assurez-vous d'avoir testé de manière approfondie l'authentification SAML sur l'interface utilisateur Edge et l'API de gestion Edge.
Si vous utilisez le portail Apigee Developer Services (ou simplement le portail), configurez et testez SAML sur le portail pour vous assurer que celui-ci peut se connecter à Edge. Consultez la section Configurer le portail pour utiliser SAML pour communiquer avec Edge.

Afficher le profil de sécurité actuel

Vous pouvez afficher le profil de sécurité Edge pour déterminer la configuration actuelle et déterminer si l'authentification de base et SAML sont actuellement activés. Utilisez l'appel d'API Edge Management suivant sur le serveur de gestion Edge pour afficher le profil de sécurité actuel utilisé par Edge:

curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Si vous n'avez pas encore configuré SAML, la réponse se présente comme indiqué ci-dessous, ce qui signifie que l'authentification de base est activée:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Si vous avez déjà activé SAML, la balise <ssoserver> s'affiche dans la sortie:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

Notez que la version pour laquelle SAML est activé affiche également <BasicAuthEnabled>true</BasicAuthEnabled>, ce qui signifie que l'authentification de base est toujours activée.

Désactiver l'authentification de base

Utilisez l'appel d'API Edge Management suivant sur le serveur Edge Management pour désactiver l'authentification de base. Notez que vous transmettez en tant que charge utile l'objet XML renvoyé dans la section précédente. La seule différence réside dans le fait que vous définissez <BasicAuthEnabled>false</BasicAuthEnabled>:

curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Une fois l'authentification de base désactivée, tout appel d'API de gestion Edge qui transmet des identifiants d'authentification de base renvoie l'erreur suivante:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Réactiver l'authentification de base

Si, pour une raison quelconque, vous devez réactiver l'authentification de base, procédez comme suit:

Connectez-vous à n'importe quel nœud ZooKeeper Edge.

Exécutez le script bash suivant pour désactiver toute sécurité :

#! /bin/bash
/opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
set /system/securityprofile <SecurityProfile></SecurityProfile>
quit
EOF

Le résultat s'affiche sous la forme suivante:

Connecting to localhost:2181
Welcome to ZooKeeper!
JLine support is enabled
WATCHER::
WatchedEvent state:SyncConnected
type:None path:null
[zk: localhost:2181(CONNECTED) 0]
set /system/securityprofile <SecurityProfile></SecurityProfile>
cZxid = 0x89
...
[zk: localhost:2181(CONNECTED) 1] quit
Quitting...

Réactivez l'authentification de base et l'authentification SAML:

curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile
  -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
  <SSOServer>
  <BasicAuthEnabled>true</BasicAuthEnabled>
  <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
  <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
  </UserAccessControl>
  </SecurityProfile>'

Vous pouvez à nouveau utiliser l'authentification de base.