Edge for Private Cloud 4.18.05 sürümü
Edge TOA modülünü yüklemek ve yapılandırmak için öncelikle iki adet TLS anahtarları ve sertifikaları. Edge TOA modülü, bilgi iletimini güvence altına almak için TLS kullanır SAML IdP ile SAML el sıkışma sürecinin bir parçası olarak
TLS anahtarlarını ve sertifikalarını oluşturma
Aşağıdaki adımlar test ortamınız için uygun olabilecek kendinden imzalı sertifikalar oluşturur ancak genellikle üretim ortamı için CA tarafından imzalanmış sertifikalara ihtiyacınız vardır.
Doğrulama ve imzalama anahtarı ile kendinden imzalı sertifikayı oluşturmak için:
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
sudo openssl genrsa -out privkey.pem 2048
sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
sudo chown apigee:apigee *.pem
SAML ile iletişim kurmak amacıyla anahtarı ve kendinden imzalı sertifikayı, parola olmadan oluşturmak için IDP:
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
cd /opt/apigee/customer/application/apigee-sso/saml/
- Özel anahtarınızı bir parola ile oluşturun:
sudo openssl genrsa -aes256 -out server.key 1024
- Parolayı anahtardan kaldırın:
sudo openssl rsa -in server.key -out server.key
- CA için sertifika imzalama isteği oluşturun:
sudo openssl req -x509 -sha256 -new -key server.key -out server.csr
- 365 günlük geçerlilik süresi olan kendinden imzalı sertifika oluşturun:
sudo openssl x509 -sha256 -days 365 -in server.csr -signkey server.key -out selfsigned.crt
sudo chown apigee:apigee server.key
sudo chown apigee:apigee selfsigned.crt
Uç TOA modülünde TLS'yi etkinleştirmek istiyorsanız SSO_TOMCAT_PROFILE'i SSL_TERMINATION olarak ayarlayın veya SSL_PROXY için kendinden imzalı bir sertifika kullanamazsınız. URL'nin tamamını bir sertifika alırsınız. Daha fazla bilgi için Apigee-sso'yu yapılandırma HTTPS erişimi hakkında daha fazla bilgi edinin.
HTTP için Edge TOA'yı yükleyin ve yapılandırın erişim
Edge TOA modülünü (apigee-sso) yüklemek için aynı işlemi kullanmanız gerekir
bir bağlantı noktasıdır. apigee-sso, bir BGBG dosyasıyla temsil edildiğinden,
Bu, yüklemeyi gerçekleştiren kullanıcının kök kullanıcı veya tam sudo'ya sahip bir kullanıcı olması gerektiği anlamına gelir.
erişim. Daha fazla bilgi için Uç Yüklemeye Genel Bakış başlıklı makaleye bakın.
Yükleyiciye bir yapılandırma dosyası iletin. Yapılandırma dosyası aşağıdaki biçimdedir:
IP1=hostname_or_ip_of_management_server IP2=hostname_or_ip_of_UI_and_apigge_sso ## Management Server configuration. MSIP=$IP1 MGMT_PORT=8080 # Edge sys admin username and password as set when you installed Edge. ADMIN_EMAIL=opdk@google.com APIGEE_ADMINPW=Secret123 # Set the protocol for the Edge management API. Default is http. # Set to https if you enabled TLS on the management API. MS_SCHEME=http ## Postgres configuration. PG_HOST=$IP1 PG_PORT=5432 # Postgres username and password as set when you installed Edge. PG_USER=apigee PG_PWD=postgres # apigee-sso configuration. SSO_PROFILE="saml" # Externally accessible IP or DNS name of apigee-sso. SSO_PUBLIC_URL_HOSTNAME=$IP2 # Default port is 9099. If changing, set both properties to the same value. SSO_PUBLIC_URL_PORT=9099 SSO_TOMCAT_PORT=9099 # Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso. SSO_TOMCAT_PROFILE=DEFAULT SSO_PUBLIC_URL_SCHEME=http # SSO admin user name. The default is ssoadmin. SSO_ADMIN_NAME=ssoadmin # SSO admin password using uppercase, lowercase, number, and special chars. SSO_ADMIN_SECRET=Secret123 # Path to signing key and secret from "Create the TLS keys and certificates" above. SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem # Name of SAML IDP. For example, okta or adfs. SSO_SAML_IDP_NAME=okta # Text displayed to user when they attempt to access Edge UI. SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP" # The metadata URL from your IDP. # If you have a metadata file, and not a URL, # see "Specifying a metadata file instead of a URL" below. SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata # Specifies to skip TLS validation for the URL specified # by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. # Default value is "n". SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n # SAML service provider key and cert from "Create the TLS keys and certificates" above. SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt # The passphrase used when you created the SAML cert and key. # The section "Create the TLS keys and certificates" above removes the passphrase, # but this property is available if you require a passphrase. # SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123 # Must configure an SMTP server so Edge SSO can send emails to users. SKIP_SMTP=n SMTPHOST=smtp.example.com SMTPUSER=smtp@example.com # omit for no username SMTPPASSWORD=smtppwd # omit for no password SMTPSSL=n SMTPPORT=25 SMTPMAILFROM="My Company <myco@company.com>"
Edge TOA modülünü yüklemek için:
- Yönetim Sunucusu düğümüne giriş yapın. Bu düğümde halihazırda
apigee-service, açıklandığı şekilde yüklendi Edge Apigee-setup yardımcı programını yükleyin.Edge TOA'yı farklı bir düğüme yükleyebileceğinizi unutmayın. Ancak bu düğümün Yönetim Sunucusu'na 8080 numaralı bağlantı noktası üzerinden erişin.
apigee-ssouygulamasını yükleyin ve yapılandırın:/opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile
Burada configFile, yukarıda gösterilen yapılandırma dosyasıdır.
- Aşağıdaki işlemlerde alışkın olduğunuz
apigee-ssoadminapi.shyardımcı programını yükleyin:apigee-ssomodülü için yönetici ve makine kullanıcılarını yönetin:/opt/apigee/apigee-service/bin/apigee-service apigee-ssoadminapi install
- Kabuktan çıkış yapın ve
apigee-ssoadminapi.sheklemek için tekrar giriş yapın yardımcı olur.
URL yerine meta veri dosyası belirtme
IDP'niz HTTP/HTTPS meta veri URL'sini desteklemiyorsa aşağıdakileri yapmak için bir meta veri XML dosyası kullanabilirsiniz: Edge TOA'yı yapılandırın:
- Meta veri XML'sinin içeriğini IDP'nizden Edge TOA düğümündeki bir dosyaya kopyalayın. Örneğin,
Örneğin, XML'yi şuraya kopyalayın:
/opt/apigee/customer/application/apigee-sso/saml/metadata.xml
- Dosyanın sahipliğini Apigee:Apigee olarak değiştirin:
chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
SSO_SAML_IDP_METADATA_URLdeğerini mutlak dosya yoluna ayarlayın:SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml
Dosya yolunun önüne "
file://" ifadesini ve ardından kök (/).