Edge for Private Cloud الإصدار 4.19.01
يصف تثبيت خدمة Edge المُوحَّد (SSO) وضبطها طريقة تثبيت وحدة الدخول المُوحَّد (SSO) على Edge وضبطها لاستخدام HTTP على المنفذ 9099، كما هو محدّد في السمة التالية في ملف إعداد Edge:
SSO_TOMCAT_PROFILE=DEFAULT
ويمكنك بدلاً من ذلك ضبط SSO_TOMCAT_PROFILE
على إحدى
القيم التالية لتفعيل إمكانية الوصول إلى HTTPS:
- SSL_PROXY: تضبط هذه السياسة
apigee-sso
، وهي وحدة تسجيل الدخول المُوحَّد (SSO) على Edge، في وضع الخادم الوكيل، ما يعني أنّك قد ثبّت جهاز موازنة الحمل أمامapigee-sso
وتم إنهاء بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة التحميل. بعد ذلك، عليك تحديد المنفذ المستخدَم فيapigee-sso
للطلبات الواردة من جهاز موازنة الحمل. - SSL_TERMINATION: تم تفعيل إمكانية الوصول عبر بروتوكول أمان طبقة النقل (TLS) إلى
apigee-sso
في المنفذ الذي تختاره. يجب تحديد ملف تخزين مفاتيح في هذا الوضع يحتوي على شهادة موقَّعة من مرجع تصديق. لا يمكنك استخدام شهادة موقعة ذاتيًا.
يمكنك اختيار تفعيل بروتوكول HTTPS عند تثبيت
apigee-sso
وضبطه مبدئيًا، أو يمكنك تفعيله لاحقًا.
يؤدي تفعيل إمكانية الوصول عبر بروتوكول HTTPS إلى apigee-sso
باستخدام أي من الوضعين إلى إيقاف وصول HTTP. وهذا يعني أنّه لا يمكنك الوصول إلى apigee-sso
عند استخدام كلٍّ من HTTP وHTTPS
في آنٍ واحد.
تمكين وضع SSL_PROXY
في وضع SSL_PROXY
، يستخدم نظامك
جهاز موازنة الحمل أمام وحدة خدمة الدخول المُوحَّد (SSO) في Edge وينهي بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة الحمل. في
الشكل التالي، ينهي جهاز موازنة الحمل بروتوكول أمان طبقة النقل (TLS) على المنفذ 443، ثم يُعيد توجيه الطلبات إلى
وحدة خدمة الدخول المُوحَّد (SSO) من Edge على المنفذ 9099:
من خلال هذه الإعدادات، تثق في الاتصال من جهاز موازنة الحمل إلى وحدة الدخول المُوحَّد (SSO) على Edge، لذلك لا حاجة إلى استخدام بروتوكول أمان طبقة النقل (TLS) لهذا الاتصال. ومع ذلك، يجب الآن على الكيانات الخارجية، مثل موفِّر هوية (IdP) SAML، الوصول إلى وحدة خدمة الدخول المُوحَّد (SSO) من Edge على المنفذ 443، وليس على المنفذ 9099 غير المحمي.
يرجع سبب ضبط وحدة تحكُّم الدخول المُوحَّد (SSO) في Edge إلى وضع SSL_PROXY
إلى أنّ وحدة الدخول المُوحَّد (SSO) في Edge تنشئ تلقائيًا عناوين URL لإعادة التوجيه التي يستخدمها موفِّر الهوية خارجيًا كجزء من عملية المصادقة.
لذلك، يجب أن تحتوي عناوين URL لإعادة التوجيه هذه على رقم المنفذ الخارجي في جهاز موازنة الحمل، 443 في هذا المثال، وليس المنفذ الداخلي في وحدة EdgeSSO المُوحَّد (SSO) 9099.
لضبط وحدة الدخول المُوحَّد (SSO) على Edge في وضع SSL_PROXY
:
- أضِف الإعدادات التالية إلى ملف الإعداد:
# Enable SSL_PROXY mode. SSO_TOMCAT_PROFILE=SSL_PROXY # Specify the apigee-sso port, typically between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9099 # Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to auto-generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- اضبط وحدة الدخول المُوحَّد (SSO) في Edge:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- يُرجى تعديل إعدادات موفِّر الهوية لتقديم طلب HTTPS في المنفذ 443 من جهاز موازنة الحمل للوصول إلى خدمة Edge المُوحَّد (SSO). راجِع ضبط موفِّر هوية (IdP) SAML للحصول على مزيد من المعلومات.
- يمكنك تعديل إعدادات واجهة مستخدم Edge الخاصة باستخدام بروتوكول HTTPS من خلال ضبط السمات التالية في ملف الإعداد:
SSO_PUBLIC_URL_PORT=443 SSO_PUBLIC_URL_SCHEME=https
بعد ذلك، عليك تحديث واجهة مستخدم Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-sso -f configFile
راجِع تفعيل SAML على واجهة مستخدم Edge لمزيد من المعلومات.
- في حال تثبيت بوابة خدمات مطوّري برامج Apigee (أو البوابة ببساطة)، يمكنك تحديثها لاستخدام HTTPS للوصول إلى تسجيل الدخول الموحَّد (SSO) إلى Edge. لمزيد من المعلومات، راجِع ضبط البوابة لاستخدام SAML للاتصال بخدمة Edge.
تمكين وضع SSL_TERMINATION
في وضع "SSL_TERMINATION
"، يجب:
- أنشِئ شهادة ومفتاحًا لبروتوكول أمان طبقة النقل (TLS) واحفظهما في ملف تخزين. لا يمكنك استخدام شهادة موقَّعة ذاتيًا. يجب إنشاء شهادة من مرجع تصديق (CA).
- تعديل إعدادات ضبط "
apigee-sso.
"
لإنشاء ملف تخزين من الشهادة والمفتاح:
- أنشئ دليلاً لملف JKS:
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- التغيير إلى الدليل الجديد:
cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- أنشئ ملف JKS يحتوي على الشهادة والمفتاح. يجب تحديد ملف تخزين مفاتيح في هذا الوضع يحتوي على شهادة موقعة من مرجع تصديق. لا يمكنك استخدام شهادة موقعة ذاتيًا. ولمعرفة مثال عن إنشاء ملف JKS، يُرجى الاطّلاع على ضبط بروتوكول أمان طبقة النقل أو طبقة المقابس الآمنة في متصفّح Edge على الجهاز.
- جعل ملف JKS مملوكًا لمستخدم "apigee":
sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl
لضبط وحدة الدخول المُوحَّد (SSO) في Edge:
- أضِف الإعدادات التالية إلى ملف الإعداد:
# Enable SSL_TERMINATION mode. SSO_TOMCAT_PROFILE=SSL_TERMINATION # Specify the path to the keystore file. SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks SSO_TOMCAT_KEYSTORE_ALIAS=sso # The password specified when you created the keystore. SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword # Specify the HTTPS port number between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9443 SSO_PUBLIC_URL_PORT=9443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- اضبط وحدة الدخول المُوحَّد (SSO) في Edge:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- يُرجى تعديل إعدادات موفِّر الهوية لتقديم طلب HTTPS في المنفذ 9443 من جهاز موازنة الحمل للوصول إلى الدخول المُوحَّد (SSO) في Edge. تأكَّد من عدم استخدام أي خدمة أخرى لهذا المنفذ. لمزيد من المعلومات، يُرجى الاطِّلاع على ضبط موفِّر هوية (IdP) SAML.
- يمكنك تحديث إعدادات واجهة مستخدم Edge الخاصة ببروتوكول HTTPS من خلال ضبط السمات التالية:
SSO_PUBLIC_URL_PORT=9443 SSO_PUBLIC_URL_SCHEME=https
راجِع تفعيل SAML على واجهة مستخدم Edge لمزيد من المعلومات.
- إذا كنت قد ثبَّتّ بوابة "خدمات المطوّرين"، عليك تحديثها لاستخدام بروتوكول HTTPS من أجل الوصول إلى الدخول المُوحَّد (SSO) في Edge. لمزيد من المعلومات، راجِع ضبط بوابة خدمات المطوّرين لاستخدام SAML للاتصال بخدمة Edge.
إعداد تسجيل الدخول الموحّد (SSO_TOMCAT_PROXY_port) عند استخدام وضع "طبقة المقابس الآمنة" (SSL_TERMINATION)
قد يكون لديك موازن تحميل أمام وحدة الدخول الموحّد في Edge الذي ينهي بروتوكول أمان طبقة النقل (TLS) في جهاز
موازنة الحمل ولكنه يتيح أيضًا بروتوكول أمان طبقة النقل (TLS) بين جهاز موازنة التحميل والدخول المُوحَّد (SSO) في Edge. في الشكل أعلاه بالنسبة إلى وضع SSL_PROXY
، يعني ذلك أنّ الاتصال من جهاز موازنة الحمل لتسجيل الدخول المُوحَّد (SSO) في Edge يستخدم بروتوكول أمان طبقة النقل (TLS).
في هذا السيناريو، يمكنك ضبط خدمة الدخول المُوحَّد (SSO) لبروتوكول أمان طبقة النقل (TLS) على Edge كما فعلت أعلاه في وضع SSL_TERMINATION
. في المقابل، إذا كان جهاز موازنة
حمولة البيانات يستخدم رقم منفذ TLS مختلفًا عن تلك التي يستخدمها بروتوكول تسجيل الدخول المُوحَّد (SSO) على Edge لبروتوكول أمان طبقة النقل (TLS)، عليك أيضًا تحديد
السمة SSO_TOMCAT_PROXY_PORT
في ملف الإعداد. مثال:
- ينهي جهاز موازنة الحمل بروتوكول أمان طبقة النقل (TLS) على المنفذ 443
- ينهي تسجيل الدخول الموحَّد (SSO) على Edge بروتوكول أمان طبقة النقل (TLS) على المنفذ 9443
تأكَّد من تضمين الإعداد التالي في ملف الإعداد:
# Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443
تتيح لك هذه السياسة ضبط واجهة مستخدم موفِّر الهوية وواجهة مستخدم Edge لإجراء طلبات HTTPS على المنفذ 443.