Edge for Private Cloud v4.18.05
Sau khi bật SAML trên Edge, bạn có thể tắt tính năng Xác thực cơ bản. Tuy nhiên, trước khi bạn tắt tính năng Xác thực cơ bản:
- Đảm bảo bạn đã thêm tất cả người dùng Edge, bao gồm cả quản trị viên hệ thống, vào IdP SAML.
- Đảm bảo bạn đã kiểm thử kỹ tính năng xác thực SAML trên giao diện người dùng Edge và API quản lý Edge.
- Nếu bạn đang sử dụng cổng Dịch vụ dành cho nhà phát triển Apigee (hoặc đơn giản là cổng), hãy định cấu hình và kiểm thử SAML trên cổng để đảm bảo rằng cổng có thể kết nối với Edge. Xem phần Định cấu hình cổng thông tin để sử dụng SAML nhằm giao tiếp với Edge.
Xem hồ sơ bảo mật hiện tại
Bạn có thể xem hồ sơ bảo mật của Edge để xác định cấu hình hiện tại nhằm xác định xem tính năng Xác thực cơ bản và SAML hiện có đang bật hay không. Sử dụng lệnh gọi API quản lý Edge sau đây trên Máy chủ quản lý Edge để xem hồ sơ bảo mật hiện tại mà Edge sử dụng:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Nếu bạn chưa định cấu hình SAML, phản hồi sẽ như sau, có nghĩa là tính năng Xác thực cơ bản đã được bật:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
Nếu đã bật SAML, bạn sẽ thấy thẻ <ssoserver> trong kết quả:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
Lưu ý rằng phiên bản có bật SAML cũng hiển thị <BasicAuthEnabled>true</BasicAuthEnabled>, nghĩa là Xác thực cơ bản vẫn được bật.
Tắt tính năng Xác thực cơ bản
Sử dụng lệnh gọi API quản lý Edge sau đây trên Máy chủ quản lý Edge để tắt tính năng Xác thực cơ bản. Lưu ý rằng bạn truyền dưới dạng tải trọng mà đối tượng XML đã trả về trong phần trước. Điểm khác biệt duy nhất là bạn đặt <BasicAuthEnabled>false</BasicAuthEnabled>:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
Sau khi bạn tắt tính năng Xác thực cơ bản, mọi lệnh gọi API quản lý Edge truyền thông tin xác thực Xác thực cơ bản sẽ trả về lỗi sau:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
Bật lại tính năng Xác thực cơ bản
Nếu vì lý do nào đó mà bạn phải bật lại tính năng Xác thực cơ bản, bạn phải thực hiện các bước sau:
- Đăng nhập vào bất kỳ nút ZooKeeper nào của Edge.
- Chạy tập lệnh bash sau để tắt tất cả các biện pháp bảo mật:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Bạn sẽ thấy kết quả dưới dạng:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Bật lại tính năng Xác thực cơ bản và xác thực SAML:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Bây giờ, bạn có thể sử dụng lại tính năng Xác thực cơ bản.