Instala y configura el SSO perimetral

Edge para la nube privada v4.18.05

Para instalar y configurar el módulo de SSO de Edge, primero debes generar dos conjuntos de claves y certificados TLS. El módulo de SSO perimetral usa TLS para proteger la transmisión de información como parte del proceso de enlace de SAML con el IdP de SAML.

Crea las claves y los certificados TLS

Con los pasos que se indican a continuación, se crean certificados autofirmados que pueden ser adecuados para tu entorno de pruebas, pero, por lo general, necesitas certificados firmados por una AC para un entorno de producción.

Para crear la clave de verificación y firma, y el certificado autofirmado, sigue estos pasos:

  1. sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
  2. cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
  3. sudo openssl genrsa -out privkey.pem 2048
  4. sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
  5. sudo chown apigee:apigee *.pem

Si deseas crear la clave y el certificado autofirmado, sin frase de contraseña, para comunicarse con el IdP de SAML:

  1. sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
  2. cd /opt/apigee/customer/application/apigee-sso/saml/
  3. Genera tu clave privada con una frase de contraseña:
    sudo openssl genrsa -aes256 -out server.key 1024
  4. Quita la frase de contraseña de la clave:
    sudo openssl rsa -in server.key -out server.key
  5. Genera una solicitud de firma de certificado para la CA:
    sudo openssl req -x509 -sha256 -new -key server.key -out server.csr
  6. Genera un certificado autofirmado con una hora de vencimiento de 365 días:
    sudo openssl x509 -sha256 -days 365 -in server.csr -signkey server.key -out selfsigned.crt
  7. sudo chown apigee:apigee server.key
  8. sudo chown apigee:apigee selfsigned.crt

Si deseas habilitar TLS en el módulo SSO de Edge, mediante la configuración de SSO_TOMCAT_PROFILE en SSL_TERMINATION o SSL_PROXY, no puedes usar un certificado autofirmado. Debes generar un certificado a partir de una CA. Consulta Configura Apigee-sso para el acceso HTTPS a fin de obtener más información.

Instala y configura el SSO perimetral para el acceso HTTP

Para instalar el módulo de SSO de Edge, apigee-sso, debes usar el mismo proceso que usaste para instalar Edge. Como apigee-sso se representa mediante un archivo de RPM, significa que el usuario que realiza la instalación debe ser el usuario raíz o un usuario con acceso sudo completo. Consulta Descripción general de la instalación de Edge para obtener más información.

Pasa un archivo de configuración al instalador. El archivo de configuración tiene el siguiente formato:

IP1=hostname_or_ip_of_management_server
IP2=hostname_or_ip_of_UI_and_apigge_sso

## Management Server configuration.
MSIP=$IP1
MGMT_PORT=8080
# Edge sys admin username and password as set when you installed Edge.
ADMIN_EMAIL=opdk@google.com
APIGEE_ADMINPW=Secret123
# Set the protocol for the Edge management API. Default is http. 
# Set to https if you enabled TLS on the management API.
MS_SCHEME=http

## Postgres configuration.
PG_HOST=$IP1
PG_PORT=5432
# Postgres username and password as set when you installed Edge.
PG_USER=apigee
PG_PWD=postgres

# apigee-sso configuration.
SSO_PROFILE="saml"
# Externally accessible IP or DNS name of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
# Default port is 9099. If changing, set both properties to the same value.
SSO_PUBLIC_URL_PORT=9099
SSO_TOMCAT_PORT=9099
# Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso.
SSO_TOMCAT_PROFILE=DEFAULT
SSO_PUBLIC_URL_SCHEME=http

# SSO admin user name. The default is ssoadmin.
SSO_ADMIN_NAME=ssoadmin
# SSO admin password using uppercase, lowercase, number, and special chars. 
SSO_ADMIN_SECRET=Secret123

# Path to signing key and secret from "Create the TLS keys and certificates" above.
SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem
SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem

# Name of SAML IDP. For example, okta or adfs. 
SSO_SAML_IDP_NAME=okta
# Text displayed to user when they attempt to access Edge UI.
SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP"

# The metadata URL from your IDP.
# If you have a metadata file, and not a URL, 
# see "Specifying a metadata file instead of a URL" below.
SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata

# Specifies to skip TLS validation for the URL specified
# by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. 
# Default value is "n".
SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n

# SAML service provider key and cert from "Create the TLS keys and certificates" above.
SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key
SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt
# The passphrase used when you created the SAML cert and key. 
# The section "Create the TLS keys and certificates" above removes the passphrase, 
# but this property is available if you require a passphrase.
# SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123

# Must configure an SMTP server so Edge SSO can send emails to users.
SKIP_SMTP=n
SMTPHOST=smtp.example.com
SMTPUSER=smtp@example.com
# omit for no username
SMTPPASSWORD=smtppwd
# omit for no password
SMTPSSL=n
SMTPPORT=25
SMTPMAILFROM="My Company <myco@company.com>"

Para instalar el módulo de SSO de Edge, sigue estos pasos:

  1. Accede al nodo del servidor de administración. Ese nodo ya debería tener apigee-service instalado, como se describe en Instala la utilidad apigee-setup de Edge.

    Ten en cuenta que puedes instalar el SSO perimetral en un nodo diferente. Sin embargo, ese nodo debe poder acceder al servidor de administración a través del puerto 8080.

  2. Instala y configura apigee-sso:
    /opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile

    En el ejemplo anterior, configFile es el archivo de configuración que se muestra arriba.

  3. Instala la utilidad apigee-ssoadminapi.sh que se usa para administrar los usuarios administradores y de máquinas del módulo apigee-sso:
    /opt/apigee/apigee-service/bin/apigee-service apigee-ssoadminapi install
  4. Sal de la shell y vuelve a acceder para agregar la utilidad apigee-ssoadminapi.sh a tu ruta de acceso.

Especificar un archivo de metadatos en lugar de una URL

Si tu IdP no admite una URL de metadatos HTTP/HTTPS, puedes usar un archivo XML de metadatos para configurar el SSO perimetral:

  1. Copia el contenido del XML de metadatos de tu IdP a un archivo en el nodo de SSO de Edge. Por ejemplo, copia el XML en:
    /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  2. Cambia la propiedad del archivo a apigee:apigee:
    chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
  3. Establece el valor de SSO_SAML_IDP_METADATA_URL en la ruta de acceso absoluta del archivo:
    SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml

    Debes agregar el prefijo "file://" a la ruta de acceso al archivo, seguido de la ruta absoluta desde la raíz (/).