Edge for Private Cloud 4.18.05 sürümü
Edge'de SAML'i etkinleştirdikten sonra Temel Kimlik Doğrulama'yı devre dışı bırakabilirsiniz. Ancak, Temel Kimlik Doğrulama'yı devre dışı bırakmadan önce:
- Sistem yöneticileri de dahil olmak üzere tüm Edge kullanıcılarını SAML IdP'nize eklediğinizden emin olun.
- Edge kullanıcı arayüzünde ve Edge yönetim API'sinde SAML kimlik doğrulamasını ayrıntılı bir şekilde test ettiğinizden emin olun.
- Apigee Developer Services portalını (veya sadece portalı) kullanıyorsanız portalın Edge'e bağlanabildiğinden emin olmak için SAML'yi portalda yapılandırıp test edin. Portalı, Edge ile iletişim kurmak için SAML'yi kullanacak şekilde yapılandırma başlıklı makaleyi inceleyin.
Mevcut güvenlik profilini görüntüleme
Temel Kimlik Doğrulama ve SAML'nin etkin olup olmadığını belirlemek için mevcut yapılandırmayı öğrenmek üzere Edge güvenlik profilini görüntüleyebilirsiniz. Edge tarafından kullanılan mevcut güvenlik profilini görüntülemek için Edge Yönetim Sunucusu'nda aşağıdaki Edge yönetim API çağrısını kullanın:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
SAML'yi henüz yapılandırmadıysanız yanıt, aşağıda gösterildiği gibi Temel Kimlik Doğrulama'nın etkin olduğu anlamına gelir:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
SAML'yi zaten etkinleştirdiyseniz çıkışta <ssoserver> etiketini görürsünüz:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
SAML'nin etkin olduğu sürümde <BasicAuthEnabled>true</BasicAuthEnabled> değerinin de gösterildiğini unutmayın. Bu, Temel Kimlik Doğrulama'nın hâlâ etkin olduğu anlamına gelir.
Temel Kimlik Doğrulamasını Devre Dışı Bırakma
Temel kimlik doğrulamayı devre dışı bırakmak için Edge Yönetim Sunucusu'nda aşağıdaki Edge yönetim API çağrısını kullanın. Yük olarak önceki bölümde döndürülen XML nesnesini iletmeniz gerektiğini unutmayın. Tek fark, <BasicAuthEnabled>false</BasicAuthEnabled> değerini ayarlamanızdır:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
Temel kimlik doğrulamayı devre dışı bıraktıktan sonra, Temel kimlik doğrulama kimlik bilgilerini ileten tüm Edge yönetim API çağrıları aşağıdaki hatayı döndürür:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
Temel kimlik doğrulamasını yeniden etkinleştirme
Herhangi bir nedenle Temel Kimlik Doğrulama'yı yeniden etkinleştirmeniz gerekirse aşağıdaki adımları uygulamanız gerekir:
- Herhangi bir Edge ZooKeeper düğümüne giriş yapın.
- Tüm güvenliği kapatmak için aşağıdaki bash komut dosyasını çalıştırın:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Çıktı şu şekilde görünür:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Temel kimlik doğrulamasını ve SAML kimlik doğrulamasını yeniden etkinleştirin:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Artık Temel Kimlik Doğrulama'yı tekrar kullanabilirsiniz.