השבתת אימות בסיסי ב-Edge

Edge for Private Cloud v4.18.05

אחרי שמפעילים את SAML ב-Edge, אפשר להשבית את Basic Auth. עם זאת, לפני השבתת האימות הבסיסי:

• חשוב לוודא שהוספתם את כל המשתמשים ב-Edge, כולל אדמינים מערכת, ל-IdP של SAML.
• חשוב לוודא שבדקתם היטב את אימות SAML בממשק המשתמש של Edge וב-Edge Management API.
• אם אתם משתמשים בפורטל של Apigee Developer Services (או פשוט הפורטל), צריך להגדיר ולבדוק את SAML בפורטל כדי לוודא שהפורטל יכול להתחבר ל-Edge. הגדרת הפורטל כך שישתמש ב-SAML כדי לתקשר עם Edge

הצגת פרופיל האבטחה הנוכחי

אפשר להציג את פרופיל האבטחה של Edge כדי לקבוע מה ההגדרה הנוכחית, ולבדוק אם אימות בסיסי ו-SAML מופעלים כרגע. כדי להציג את פרופיל האבטחה הנוכחי שבו Edge משתמש, צריך להשתמש בקריאה הבאה ל-Edge Management API בשרת הניהול של Edge:

curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

אם עדיין לא הגדרתם את SAML, התגובה תהיה כמו זו שבהמשך, כלומר אימות בסיסי מופעל:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

אם כבר הפעלתם את SAML, התג <ssoserver> יופיע בפלט:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

שימו לב שבגרסה שבה SAML מופעל מופיע גם הערך <BasicAuthEnabled>true</BasicAuthEnabled>, כלומר אימות הבסיס עדיין מופעל.

השבתת אימות בסיסי

כדי להשבית את האימות הבסיסי, משתמשים בקריאה הבאה ל-Edge Management API בשרת Edge Management. חשוב לזכור שצריך להעביר כמטען שימושי את אובייקט ה-XML שהוחזר בקטע הקודם. ההבדל היחיד הוא שמגדירים את הערך <BasicAuthEnabled>false</BasicAuthEnabled>:

curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

אחרי השבתת האימות הבסיסי, כל קריאה ל-Edge Management API שמעבירה פרטי כניסה לאימות בסיסי מחזירה את השגיאה הבאה:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

הפעלה מחדש של אימות בסיסי

אם מסיבה כלשהי צריך להפעיל מחדש את אימות הבסיס, צריך לבצע את השלבים הבאים:

1. מתחברים לכל צומת של Edge האפליקציותKeeper.
2. מריצים את סקריפט ה-bash הבא כדי להשבית את כל מערכות האבטחה:

   #! /bin/bash
   /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
   set /system/securityprofile <SecurityProfile></SecurityProfile>
   quit
   EOF

   הפלט יוצג בפורמט:

   Connecting to localhost:2181
   Welcome to ZooKeeper!
   JLine support is enabled
   WATCHER::
   WatchedEvent state:SyncConnected
   type:None path:null
   [zk: localhost:2181(CONNECTED) 0]
   set /system/securityprofile <SecurityProfile></SecurityProfile>
   cZxid = 0x89
   ...
   [zk: localhost:2181(CONNECTED) 1] quit
   Quitting...

3. מפעילים מחדש את האימות הבסיסי ואימות SAML:
   

   curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile
     -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile">
     <UserAccessControl enabled="true">
     <SSOServer>
     <BasicAuthEnabled>true</BasicAuthEnabled>
     <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
     <ServerUrl>http://35.197.37.220:9099</ServerUrl>
     </SSOServer>
     </UserAccessControl>
     </SecurityProfile>'

   עכשיו אפשר להשתמש שוב באימות בסיסי.