このページは Cloud Translation API によって翻訳されました。

HTTPS アクセス用の apigee-sso の構成

Edge for Private Cloud v4.19.01

SSO_TOMCAT_PROFILE=DEFAULT

または、SSO_TOMCAT_PROFILE を次のいずれかに設定することもできます。値を使用して HTTPS アクセスを有効にします。

SSL_PROXY - apigee-sso（Edge SSO モジュール）を構成します。プロキシモード。つまり、apigee-sso の前にロードバランサが設置されています。ロードバランサで TLS を終端します。次に、apigee-sso で使用するポートを指定します。リクエストをルーティングします
SSL_TERMINATION - 有効な TLS アクセス: の apigee-sso ポートを選択できますこのモードでは、。自己署名証明書は使用できません。

最初のインストールと構成時に HTTPS を有効にすることもできます。 apigee-sso。後で有効にすることもできます。

いずれかのモードを使用して apigee-sso への HTTPS アクセスを有効にすると、HTTP が無効になりますできます。つまり、HTTP と HTTPS の両方を使用して apigee-sso にアクセスすることはできません。できます。

注: 外部 IP アドレスへの HTTPS アクセスを構成し、 apigee-sso です。URL は必ず更新してください。（HTTPS を使用するように Edge UI と IDP が使用する必要があります）また、オンプレミスで HTTPS を有効にすると、 9099 以外のポートを使用する場合は、正しいポート番号を使用するように UI と IDP を更新してください。

SSL_PROXY モードを有効にする

SSL_PROXY モードでは、システムは Edge SSO モジュールの前にロードバランサを使用し、そのロードバランサで TLS を終端します。イン次の図では、ロードバランサは TLS をポート 443 で終端し、リクエストを Edge SSO モジュールをポート 9099 で接続します。

この構成では、ロードバランサから Edge SSO モジュールへの接続を信頼します。そのため、その接続に TLS を使用する必要はありません。ただし、SAML などの外部エンティティは IDP は、保護されていないポート 9099 ではなく、ポート 443 で Edge SSO モジュールにアクセスする必要があります。

Edge SSO モジュールを SSL_PROXY モードで構成する理由は、Edge SSO モジュールがは、認証プロセスの一環として、IDP が外部で使用するリダイレクト URL を自動生成します。したがって、これらのリダイレクト URL には、ロードバランサの外部ポート番号 443 を Edge SSO モジュールの内部ポートである 9099 ではありません。

注: 証明書サービス用に TLS 証明書と鍵を作成する必要はありません。 SSL_PROXY モードは、ロードバランサから Edge SSO モジュールへの接続が HTTP を使用します。

Edge SSO モジュールを SSL_PROXY モードに構成するには:

構成ファイルに次の設定を追加します。

# Enable SSL_PROXY mode.
SSO_TOMCAT_PROFILE=SSL_PROXY

# Specify the apigee-sso port, typically between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9099

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to auto-generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

Edge SSO モジュールを構成します。

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

IdP の構成を更新して、負荷のポート 443 で HTTPS リクエストを行うようにします。アクセスすることもできます。SAML を構成する IDP をご覧ください。
構成ファイルで次のプロパティを設定して、HTTPS 用に Edge UI 構成を更新します。
```
SSO_PUBLIC_URL_PORT=443
SSO_PUBLIC_URL_SCHEME=https
```
次に、Edge UI を更新します。
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-sso -f configFile
```
詳細については、Edge UI で SAML を有効にするをご覧ください。
Apigee Developer Services ポータル（略して「ポータル」）をインストールした場合は、HTTPS を使用するようにポータルを更新します。アクセスできません。詳細については、次をご覧ください。 SAML を使用して Edge と通信するようにポータルを構成する

SSL_TERMINATION モードを有効にする

SSL_TERMINATION モードの場合は、次のことを行う必要があります。

TLS 証明書と鍵を生成し、キーストアファイルに保存します。 自己署名証明書を使用できます。CA からの証明書を生成する必要があります。
apigee-sso. の構成を更新する

証明書と鍵からキーストアファイルを作成するには:

JKS ファイル用のディレクトリを作成します。

sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

新しいディレクトリに移動します。

cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

証明書と鍵を含む JKS ファイルを作成します。このモードではキーストアを指定する必要があります証明書ファイルが作成されます自己署名証明書は使用できません。たとえば作成方法については、Google Cloud で TLS/SSL のオンプレミスのエッジ。

JKS ファイルの所有者を「apigee」にするユーザー:

sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

Edge SSO モジュールを構成するには:

構成ファイルに次の設定を追加します。

# Enable SSL_TERMINATION mode.
SSO_TOMCAT_PROFILE=SSL_TERMINATION

# Specify the path to the keystore file.
SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks

SSO_TOMCAT_KEYSTORE_ALIAS=sso

# The password specified when you created the keystore.
SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

# Specify the HTTPS port number between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9443
SSO_PUBLIC_URL_PORT=9443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

Edge SSO モジュールを構成します。

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

IdP の構成を更新して、負荷のポート 9443 で HTTPS リクエストを行うようにします。アクセスすることもできます。他のサービスがこのポートを使用していないことを確認してください。詳細については、SAML IDP を構成するをご覧ください。
次のプロパティを設定して、HTTPS 用に Edge UI 構成を更新します。
```
SSO_PUBLIC_URL_PORT=9443
SSO_PUBLIC_URL_SCHEME=https
```
詳細については、Edge UI で SAML を有効にするをご覧ください。
Developer Services ポータルをインストール済みの場合は、HTTPS を使用するようにポータルを更新して、アクセスできません。詳細については、アプリケーションの Developer Services ポータルで SAML を使用して Edge と通信するをご覧ください。

SSL_TERMINATION モード使用時の SSO_TOMCAT_PROXY_PORT の設定

Edge SSO モジュールの前にロードバランサを配置して、負荷時に TLS を終端させるロードバランサと Edge SSO 間の TLS を有効にします。上の図では、 SSL_PROXY モードの場合、ロードバランサから Edge SSO への接続には、 TLS です。

このシナリオでは、上記の SSL_TERMINATION モード。ただし、使用している TLS ポート番号が、Edge SSO が TLS に使用するものと異なる場合は、構成ファイルの SSO_TOMCAT_PROXY_PORT プロパティ。例:

ロードバランサは、TLS をポート 443 で終端します。
Edge SSO がポート 9443 で TLS を終端する

構成ファイルに次の設定が含まれていることを確認してください。

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

ポート 443 で HTTPS リクエストを行うように IDP と Edge UI を構成します。