تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

إعداد apigee-sso للوصول إلى HTTPS

الإصدار 4.19.01 من Edge for Private Cloud

يوضّح قسم تثبيت الدخول المُوحَّد (SSO) في Edge وضبطه كيف لتثبيت وتكوين وحدة الدخول الموحّد (SSO) على Edge لاستخدام HTTP على المنفذ 9099، على النحو المحدد بواسطة الخاصية التالية في ملف إعداد Edge:

SSO_TOMCAT_PROFILE=DEFAULT

ويمكنك بدلاً من ذلك ضبط السمة SSO_TOMCAT_PROFILE على أحد الخيارات التالية: القيم لتمكين الدخول عبر HTTPS:

SSL_PROXY - لضبط apigee-sso، وحدة الدخول المُوحَّد (SSO) على Edge، في وضع الخادم الوكيل، أي أنك ثبّت جهاز موازنة الحمل أمام apigee-sso وأنهى بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة الحمل. يمكنك بعد ذلك تحديد المنفذ المستخدَم في apigee-sso للطلبات الواردة من جهاز موازنة الحمل.
SSL_TERMINATION - تم تمكين الدخول إلى TLS apigee-sso في من اختيارك. يجب تحديد ملف تخزين مفاتيح لهذا الوضع يتضمّن شهادة موقعة من CA. لا يمكنك استخدام شهادة موقَّعة ذاتيًا.

يمكنك اختيار تفعيل بروتوكول HTTPS في وقت التثبيت والضبط لأول مرة. apigee-sso، أو يمكنك تفعيلها لاحقًا.

يؤدي تفعيل الوصول عبر HTTPS إلى apigee-sso باستخدام أي من الوضعين إلى إيقاف HTTP الوصول إليه. وهذا يعني أنّه لا يمكنك الوصول إلى apigee-sso باستخدام كلٍّ من HTTP وHTTPS. بالتزامن.

ملاحظة: في حال ضبط إمكانية الوصول عبر HTTPS إلى apigee-sso، احرص على تعديل أي عناوين URL الذي يستخدمه واجهة مستخدم Edge وموفِّر الهوية لاستخدام HTTPS. كذلك، إذا اخترت تمكين HTTPS على منفذ بخلاف 9099، تأكَّد من تعديل واجهة المستخدم وموفِّر الهوية لاستخدام رقم المنفذ الصحيح.

تمكين وضع SSL_PROXY

في وضع SSL_PROXY، سيوفّر النظام جهاز موازنة الحمل أمام وحدة الدخول المُوحَّد (SSO) في Edge وإنهاء بروتوكول أمان طبقة النقل (TLS) على جهاز موازنة الحمل. ضِمن الشكل التالي، يُنهي جهاز موازنة الحمل بروتوكول أمان طبقة النقل (TLS) على المنفذ 443، ثم يعيد توجيه الطلبات إلى وحدة الدخول الموحَّد (SSO) على شبكة Edge على المنفذ 9099:

من خلال هذه الإعدادات، تثق في الاتصال من جهاز موازنة التحميل بوحدة الدخول المُوحَّد (SSO) على Edge، لذلك ليست هناك حاجة لاستخدام بروتوكول أمان طبقة النقل (TLS) لإجراء هذا الاتصال. أما الكيانات الخارجية، مثل SAML موفِّر الهوية (idP)، الآن يجب الوصول إلى وحدة الدخول المُوحَّد (SSO) على Edge عبر المنفذ 443، وليس على المنفذ غير المحمي لـ 9099.

يرجع سبب إعداد وحدة الدخول المُوحَّد (SSO) في Edge في وضع SSL_PROXY إلى أنّ وحدة الدخول الموحَّد (SSO) على Edge على إنشاء عناوين URL لإعادة التوجيه تلقائيًا يستخدمها موفِّر الهوية (idP) خارجيًا كجزء من عملية المصادقة. لذلك، يجب أن تحتوي عناوين URL لإعادة التوجيه هذه على رقم المنفذ الخارجي على جهاز موازنة الحمل، وهو 443 هذا المثال، وليس المنفذ الداخلي في وحدة الدخول الموحّد (SSO) في Edge، 9099.

ملاحظة: لا تحتاج إلى إنشاء شهادة ومفتاح لبروتوكول أمان طبقة النقل (TLS) وضع SSL_PROXY بسبب الاتصال من جهاز موازنة الحمل بوحدة تسجيل الدخول المُوحَّد (SSO) على Edge يستخدم HTTP.

لضبط وحدة الدخول المُوحَّد (SSO) على Edge في وضع SSL_PROXY:

أضِف الإعدادات التالية إلى ملف الإعداد:

# Enable SSL_PROXY mode.
SSO_TOMCAT_PROFILE=SSL_PROXY

# Specify the apigee-sso port, typically between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9099

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to auto-generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

اضبط وحدة الدخول المُوحَّد (SSO) على Edge:

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

تعديل إعدادات موفِّر الهوية لإنشاء طلب HTTPS على المنفذ 443 من التحميل موازِن الوصول إلى خدمة الدخول المُوحَّد (SSO) من Edge. راجِع ضبط SAML موفِّر الهوية (idP) لمزيد من المعلومات.
عدِّل إعدادات واجهة مستخدم Edge الخاصة ببروتوكول HTTPS من خلال ضبط الخصائص التالية في ملف الإعداد:
```
SSO_PUBLIC_URL_PORT=443
SSO_PUBLIC_URL_SCHEME=https
```
بعد ذلك، قم بتحديث واجهة مستخدم Edge:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-sso -f configFile
```
يُرجى الاطِّلاع على تفعيل SAML في واجهة مستخدم Edge للتعرّف على مزيد من المعلومات.
في حال تثبيت بوابة Apigee Developer Services (أو ببساطة، البوابة)، يُرجى تعديلها لاستخدام HTTPS من أجل للدخول إلى شبكة Edge لمزيد من المعلومات، راجع إعداد البوابة لاستخدام SAML للتواصل مع Edge

تمكين وضع SSL_TERMINATION

لاستخدام وضع "SSL_TERMINATION"، يجب استيفاء الشروط التالية:

أنشئ شهادة ومفتاحًا لبروتوكول أمان طبقة النقل (TLS) واحتفظ بهما في ملف تخزين مفاتيح. لا يمكنك استخدام شهادة موقعة ذاتيًا. يجب إنشاء شهادة من مرجع تصديق.
تعديل إعدادات الضبط لـ "apigee-sso."

لإنشاء ملف تخزين مفاتيح من الشهادة والمفتاح:

إنشاء دليل لملف JKS:

sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

التغيير إلى الدليل الجديد:

cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

أنشئ ملف JKS يحتوي على الشهادة والمفتاح. يجب تحديد ملف تخزين مفاتيح لهذا الوضع. تحتوي على شهادة موقعة من مرجع تصديق. لا يمكنك استخدام شهادة موقَّعة ذاتيًا. للحصول على مثال على لإنشاء ملف JKS، اطلع على تهيئة TLS/SSL Edge On Premises

جعل ملف JKS مملوكًا من قِبل "apigee" المستخدم:

sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

لضبط وحدة الدخول المُوحَّد (SSO) على Edge، اتّبِع الخطوات التالية:

أضِف الإعدادات التالية إلى ملف الإعداد:

# Enable SSL_TERMINATION mode.
SSO_TOMCAT_PROFILE=SSL_TERMINATION

# Specify the path to the keystore file.
SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks

SSO_TOMCAT_KEYSTORE_ALIAS=sso

# The password specified when you created the keystore.
SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

# Specify the HTTPS port number between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9443
SSO_PUBLIC_URL_PORT=9443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

اضبط وحدة الدخول المُوحَّد (SSO) على Edge:

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

تعديل إعدادات موفِّر الهوية لإنشاء طلب HTTPS على المنفذ 9443 من التحميل موازِن الوصول إلى خدمة الدخول المُوحَّد (SSO) من Edge. تأكَّد من عدم استخدام أي خدمة أخرى لهذا المنفذ. لمزيد من المعلومات، يُرجى الاطِّلاع على ضبط موفِّر الهوية (idP) SAML).
عدِّل إعدادات واجهة مستخدم Edge الخاصة ببروتوكول HTTPS من خلال ضبط الخصائص التالية:
```
SSO_PUBLIC_URL_PORT=9443
SSO_PUBLIC_URL_SCHEME=https
```
يُرجى الاطِّلاع على تفعيل SAML في واجهة مستخدم Edge للتعرّف على مزيد من المعلومات.
في حال تثبيت بوابة خدمات المطوّرين، يُرجى تعديلها لاستخدام بروتوكول HTTPS من أجل للدخول إلى شبكة Edge لمزيد من المعلومات، راجع تهيئة بوابة خدمات المطوّرين لاستخدام SAML للتواصل مع Edge.

تعيين الدخول الموحَّد (SSO_TOMCAT_PROXY_PORT) عند استخدام وضع SSL_TERMINATION

قد يكون لديك جهاز موازنة حمل أمام وحدة الدخول الموحّد (SSO) على شبكة Edge ينهي بروتوكول أمان طبقة النقل (TLS) عند التحميل. موازِن وأيضًا تمكين بروتوكول أمان طبقة النقل (TLS) بين جهاز موازنة الحمل وخدمة الدخول المُوحَّد (SSO) من Edge. في الشكل أعلاه، في وضع "SSL_PROXY"، يعني هذا أنّ الاتصال من جهاز موازنة الحمل بخدمة الدخول المُوحَّد (SSO) الذي يستخدمه Edge بروتوكول أمان طبقة النقل (TLS).

في هذا السيناريو، يمكنك تهيئة بروتوكول أمان طبقة النقل (TLS) على Edge الموحّد تمامًا كما فعلت أعلاه وضع SSL_TERMINATION. ومع ذلك، إذا تم تحميل جهاز موازنة الحمل يستخدم رقم منفذ بروتوكول أمان طبقة النقل مختلفًا عن ما يستخدمه الدخول المُوحَّد (SSO) في شبكة Edge مع بروتوكول أمان طبقة النقل (TLS)، يجب عليك أيضًا تحديد السمة SSO_TOMCAT_PROXY_PORT في ملف الإعداد. مثلاً:

ينهي جهاز موازنة الحمل بروتوكول أمان طبقة النقل (TLS) على المنفذ 443
الدخول المُوحَّد (SSO) إلى شبكة Edge ينهي بروتوكول أمان طبقة النقل (TLS) على المنفذ 9443

تأكَّد من تضمين الإعداد التالي في ملف الإعداد:

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

إعداد واجهة مستخدم موفِّر الهوية (idP) وEdge لإجراء طلبات HTTPS على المنفذ 443.