Se usó la API de Cloud Translation para traducir esta página.

Instala y configura el SSO perimetral

Edge for Private Cloud v4.18.05

Para instalar y configurar el módulo de SSO de Edge, primero debes generar dos conjuntos claves y certificados TLS. El módulo de SSO de Edge usa TLS para proteger la transmisión de información como parte del proceso de enlace SAML con el IdP de SAML.

Crea las claves y los certificados TLS

En los siguientes pasos, se crean certificados autofirmados, lo cual puede ser adecuado para tu entorno de pruebas, Por lo general, necesitas certificados firmados por una AC para un entorno de producción.

Para crear la clave de verificación y firma, y el certificado autofirmado, haz lo siguiente:

sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys

cd /opt/apigee/customer/application/apigee-sso/jwt-keys/

sudo openssl genrsa -out privkey.pem 2048

sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem

```
sudo chown apigee:apigee *.pem
```

Para crear la clave y el certificado autofirmado, sin frase de contraseña, para comunicarse con SAML IDP:

sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/

cd /opt/apigee/customer/application/apigee-sso/saml/

Genera tu clave privada con una frase de contraseña:
```
sudo openssl genrsa -aes256 -out server.key 1024
```

Quita la frase de contraseña de la clave:

sudo openssl rsa -in server.key -out server.key

Genera una solicitud de firma de certificado para la AC:

sudo openssl req -x509 -sha256 -new -key server.key -out server.csr

Genera un certificado autofirmado con una hora de vencimiento de 365 días:

sudo openssl x509 -sha256 -days 365 -in server.csr -signkey server.key -out selfsigned.crt

```
sudo chown apigee:apigee server.key
```
```
sudo chown apigee:apigee selfsigned.crt
```

Si quieres habilitar TLS en el módulo de SSO de Edge, estableciendo SSO_TOMCAT_PROFILE en SSL_TERMINATION o a SSL_PROXY, no puedes usar un certificado autofirmado. Debes generar un certificado de una AC. Consulta Configura Apigee-sso para acceso HTTPS para obtener más información.

Instala y configura el SSO de Edge para HTTP acceso

Para instalar el módulo de SSO de Edge, apigee-sso, debes usar el mismo proceso que usaste para instalar Edge. Como apigee-sso se representa con un archivo RPM, Esto significa que el usuario que realiza la instalación debe ser el usuario raíz o un usuario con sudo completo el acceso a los datos. Consulta Descripción general de la instalación de Edge para obtener más información.

Pasa un archivo de configuración al instalador. El archivo de configuración tiene el siguiente formato:

IP1=hostname_or_ip_of_management_server
IP2=hostname_or_ip_of_UI_and_apigge_sso

## Management Server configuration.
MSIP=$IP1
MGMT_PORT=8080
# Edge sys admin username and password as set when you installed Edge.
ADMIN_EMAIL=opdk@google.com
APIGEE_ADMINPW=Secret123
# Set the protocol for the Edge management API. Default is http. 
# Set to https if you enabled TLS on the management API.
MS_SCHEME=http

## Postgres configuration.
PG_HOST=$IP1
PG_PORT=5432
# Postgres username and password as set when you installed Edge.
PG_USER=apigee
PG_PWD=postgres

# apigee-sso configuration.
SSO_PROFILE="saml"
# Externally accessible IP or DNS name of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
# Default port is 9099. If changing, set both properties to the same value.
SSO_PUBLIC_URL_PORT=9099
SSO_TOMCAT_PORT=9099
# Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso.
SSO_TOMCAT_PROFILE=DEFAULT
SSO_PUBLIC_URL_SCHEME=http

# SSO admin user name. The default is ssoadmin.
SSO_ADMIN_NAME=ssoadmin
# SSO admin password using uppercase, lowercase, number, and special chars. 
SSO_ADMIN_SECRET=Secret123

# Path to signing key and secret from "Create the TLS keys and certificates" above.
SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem
SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem

# Name of SAML IDP. For example, okta or adfs. 
SSO_SAML_IDP_NAME=okta
# Text displayed to user when they attempt to access Edge UI.
SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP"

# The metadata URL from your IDP.
# If you have a metadata file, and not a URL, 
# see "Specifying a metadata file instead of a URL" below.
SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata

# Specifies to skip TLS validation for the URL specified
# by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. 
# Default value is "n".
SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n

# SAML service provider key and cert from "Create the TLS keys and certificates" above.
SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key
SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt
# The passphrase used when you created the SAML cert and key. 
# The section "Create the TLS keys and certificates" above removes the passphrase, 
# but this property is available if you require a passphrase.
# SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123

# Must configure an SMTP server so Edge SSO can send emails to users.
SKIP_SMTP=n
SMTPHOST=smtp.example.com
SMTPUSER=smtp@example.com
# omit for no username
SMTPPASSWORD=smtppwd
# omit for no password
SMTPSSL=n
SMTPPORT=25
SMTPMAILFROM="My Company <myco@company.com>"

Para instalar el módulo de SSO de Edge, sigue estos pasos:

Accede al nodo del servidor de administración. Ese nodo ya debería tener Se instaló apigee-service como se describe en Instala la utilidad de Apigee-setup de Edge.
Ten en cuenta que puedes instalar el SSO de Edge en otro nodo. Sin embargo, ese nodo debe poder el servidor de administración a través del puerto 8080.
Instala y configura apigee-sso:
```
/opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile
```
Donde configFile es el archivo de configuración que se muestra arriba.
Instala la utilidad apigee-ssoadminapi.sh que se usa para Administra los usuarios del administrador y de la máquina para el módulo apigee-sso:
```
/opt/apigee/apigee-service/bin/apigee-service apigee-ssoadminapi install
```
Sal de la shell y, luego, vuelve a acceder para agregar apigee-ssoadminapi.sh. a tu camino.

Especifica un archivo de metadatos en lugar de una URL

Si tu IdP no admite una URL de metadatos HTTP/HTTPS, puedes usar un archivo XML de metadatos para configurar el SSO de Edge:

Copia el contenido de los metadatos XML de tu IdP a un archivo en el nodo de SSO de Edge. Para ejemplo, copia el XML a:
```
/opt/apigee/customer/application/apigee-sso/saml/metadata.xml
```
Nota: El archivo debe llamarse metadata.xml.

Cambia la propiedad del archivo a Apigee:apigee:

chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml

Configura el valor de SSO_SAML_IDP_METADATA_URL como la ruta absoluta del archivo:
```
SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml
```
Debes agregar el prefijo “file://” seguido de la ruta de acceso absoluta desde raíz (/).