एचटीटीपीएस ऐक्सेस करने के लिए, apigee-sso कॉन्फ़िगर करें

Edge for Private Cloud v4.19.01

Edge एसएसओ (SSO) को इंस्टॉल और कॉन्फ़िगर करें लेख में यह बताया गया है कि पोर्ट 9099 पर एचटीटीपी का इस्तेमाल करने के लिए, Edge एसएसओ (SSO) मॉड्यूल को कैसे इंस्टॉल और कॉन्फ़िगर करें. इसके बारे में Edge कॉन्फ़िगरेशन फ़ाइल में दी गई प्रॉपर्टी में बताया गया है:

SSO_TOMCAT_PROFILE=DEFAULT

इसके अलावा, एचटीटीपीएस का ऐक्सेस चालू करने के लिए, SSO_TOMCAT_PROFILE को इनमें से किसी एक वैल्यू पर सेट किया जा सकता है:

  • SSL_PROXY - प्रॉक्सी मोड में, apigee-sso, EDGE एसएसओ मॉड्यूल को कॉन्फ़िगर करता है. इसका मतलब है कि आपने apigee-sso के आगे लोड बैलेंसर इंस्टॉल किया है और लोड बैलेंसर पर TLS को खत्म कर दिया है. इसके बाद, लोड बैलेंसर से मिलने वाले अनुरोधों के लिए, apigee-sso पर इस्तेमाल किए गए पोर्ट की जानकारी दें.
  • SSL_TERMINATION - आपकी पसंद के पोर्ट पर apigee-sso के लिए TLS का ऐक्सेस चालू कर दिया गया है. इस मोड के लिए आपको ऐसा कीस्टोर तय करना होगा जिसमें किसी सर्टिफ़िकेट पर CA का हस्ताक्षर हो. खुद हस्ताक्षर किए गए सर्टिफ़िकेट का इस्तेमाल नहीं किया जा सकता.

apigee-sso को इंस्टॉल और कॉन्फ़िगर करते समय, एचटीटीपीएस को चालू किया जा सकता है. हालांकि, इसे बाद में भी चालू किया जा सकता है.

किसी भी मोड का इस्तेमाल करके, apigee-sso का एचटीटीपीएस ऐक्सेस चालू करने से एचटीटीपी ऐक्सेस बंद हो जाता है. इसका मतलब है कि एक साथ एचटीटीपी और एचटीटीपीएस, दोनों का इस्तेमाल करके apigee-sso को ऐक्सेस नहीं किया जा सकता.

SSL_PROXY मोड सक्षम करें

SSL_PROXY मोड में, आपका सिस्टम Edge एसएसओ मॉड्यूल के सामने लोड बैलेंसर का इस्तेमाल करता है और लोड बैलेंसर पर TLS को खत्म कर देता है. यहां दिए गए डायग्राम में, लोड बैलेंसर, पोर्ट 443 पर TLS को खत्म कर देता है. इसके बाद, पोर्ट 9099 पर Edge एसएसओ (SSO) मॉड्यूल पर अनुरोधों को फ़ॉरवर्ड करता है:

इस कॉन्फ़िगरेशन में, आपको लोड बैलेंसर से Edge एसएसओ (SSO) मॉड्यूल के कनेक्शन पर भरोसा है. इसलिए, इस कनेक्शन के लिए TLS का इस्तेमाल करने की ज़रूरत नहीं है. हालांकि, बाहरी इकाइयों, जैसे कि एसएएमएल आईडीपी को अब पोर्ट 443 पर Edge एसएसओ (SSO) मॉड्यूल को ऐक्सेस करना होगा, न कि 9099 के असुरक्षित पोर्ट पर.

एज एसएसओ (SSO) मॉड्यूल को SSL_PROXY मोड में कॉन्फ़िगर करने की वजह यह है कि Edge एसएसओ (SSO) मॉड्यूल, पुष्टि करने की प्रोसेस के तहत उन रीडायरेक्ट यूआरएल को अपने-आप जनरेट करता है जिन्हें आईडीपी (IdP) बाहर इस्तेमाल करता है. इसलिए, इन रीडायरेक्ट यूआरएल में लोड बैलेंसर पर बाहरी पोर्ट नंबर होना चाहिए, इस उदाहरण में 443 होना चाहिए, न कि Edge एसएसओ (SSO) मॉड्यूल पर इंटरनल पोर्ट, 9099.

SSL_PROXY मोड के लिए, Edge एसएसओ (SSO) मॉड्यूल कॉन्फ़िगर करने के लिए:

  1. अपनी कॉन्फ़िगरेशन फ़ाइल में ये सेटिंग जोड़ें:
    # Enable SSL_PROXY mode.
    SSO_TOMCAT_PROFILE=SSL_PROXY
    
    # Specify the apigee-sso port, typically between 1025 and 65535.
    # Typically ports 1024 and below require root access by apigee-sso.
    # The default is 9099.
    SSO_TOMCAT_PORT=9099
    
    # Specify the port number on the load balancer for terminating TLS.
    # This port number is necessary for apigee-sso to auto-generate redirect URLs.
    SSO_TOMCAT_PROXY_PORT=443
    SSO_PUBLIC_URL_PORT=443
    
    # Set public access scheme of apigee-sso to https.
    SSO_PUBLIC_URL_SCHEME=https
  2. Edge एसएसओ (SSO) मॉड्यूल कॉन्फ़िगर करें:
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
  3. अब अपने आईडीपी कॉन्फ़िगरेशन को अपडेट करें, ताकि लोड बैलेंसर के पोर्ट 443 पर एचटीटीपीएस अनुरोध भेजकर Edge एसएसओ (SSO) को ऐक्सेस किया जा सके. ज़्यादा जानकारी के लिए, अपना एसएएमएल आईडीपी कॉन्फ़िगर करना देखें.
  4. कॉन्फ़िगरेशन फ़ाइल में इन प्रॉपर्टी को सेट करके, एचटीटीपीएस के लिए अपने Edge यूज़र इंटरफ़ेस (यूआई) कॉन्फ़िगरेशन को अपडेट करें:
    SSO_PUBLIC_URL_PORT=443
    SSO_PUBLIC_URL_SCHEME=https

    इसके बाद, Edge यूज़र इंटरफ़ेस (यूआई) को अपडेट करें:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-sso -f configFile

    ज़्यादा जानकारी के लिए, Edge यूज़र इंटरफ़ेस पर एसएएमएल चालू करें देखें.

  5. अगर आपने Apigee Developer Services पोर्टल (या सामान्य तौर पर पोर्टल) इंस्टॉल किया है, तो Edge एसएसओ को ऐक्सेस करने के लिए एचटीटीपीएस का इस्तेमाल करने के लिए इसे अपडेट करें. ज़्यादा जानकारी के लिए, Edge से संपर्क करने के लिए एसएएमएल का इस्तेमाल करने के लिए पोर्टल को कॉन्फ़िगर करना लेख पढ़ें

SSL_TERMINATION मोड चालू करें

SSL_TERMINATION मोड के लिए, आपको ये काम करने होंगे:

  • TLS सर्टिफ़िकेट और कुंजी जनरेट करें और उन्हें किसी कीस्टोर फ़ाइल में सेव करें. खुद ही हस्ताक्षर किए गए सर्टिफ़िकेट का इस्तेमाल नहीं किया जा सकता. आपको सीए से सर्टिफ़िकेट जनरेट करना होगा.
  • apigee-sso. के लिए कॉन्फ़िगरेशन सेटिंग अपडेट करें

अपने सर्टिफ़िकेट और कुंजी से कीस्टोर फ़ाइल बनाने के लिए:

  1. JKS फ़ाइल के लिए कोई डायरेक्ट्री बनाएं:
    sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  2. नई डायरेक्ट्री में बदलें:
    cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  3. सर्टिफ़िकेट और कुंजी वाली एक JKS फ़ाइल बनाएं. इस मोड के लिए आपको ऐसा कीस्टोर तय करना होगा जिसमें सीए के ज़रिए हस्ताक्षर किया गया सर्टिफ़िकेट शामिल हो. खुद हस्ताक्षर किए गए सर्टिफ़िकेट का इस्तेमाल नहीं किया जा सकता. JKS फ़ाइल बनाने के उदाहरण के लिए, Edge On Premises के लिए TLS/एसएसएल को कॉन्फ़िगर करना देखें.
  4. "apigee" उपयोगकर्ता के मालिकाना हक वाली JKS फ़ाइल बनाएं:
    sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

Edge एसएसओ (SSO) मॉड्यूल को कॉन्फ़िगर करने के लिए:

  1. अपनी कॉन्फ़िगरेशन फ़ाइल में ये सेटिंग जोड़ें:
    # Enable SSL_TERMINATION mode.
    SSO_TOMCAT_PROFILE=SSL_TERMINATION
    
    # Specify the path to the keystore file.
    SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
    
    SSO_TOMCAT_KEYSTORE_ALIAS=sso
    
    # The password specified when you created the keystore.
    SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword
    
    # Specify the HTTPS port number between 1025 and 65535.
    # Typically ports 1024 and below require root access by apigee-sso.
    # The default is 9099.
    SSO_TOMCAT_PORT=9443
    SSO_PUBLIC_URL_PORT=9443
    
    # Set public access scheme of apigee-sso to https.
    SSO_PUBLIC_URL_SCHEME=https
  2. Edge एसएसओ (SSO) मॉड्यूल कॉन्फ़िगर करें:
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
  3. अब अपने आईडीपी कॉन्फ़िगरेशन को अपडेट करें, ताकि लोड बैलेंसर के पोर्ट 9443 पर Edge एसएसओ (SSO) को ऐक्सेस करने के लिए एचटीटीपीएस अनुरोध किया जा सके. पक्का करें कि किसी दूसरी सेवा में इस पोर्ट का इस्तेमाल न किया जा रहा हो. ज़्यादा जानकारी के लिए, अपना एसएएमएल आईडीपी कॉन्फ़िगर करना देखें.
  4. इन प्रॉपर्टी को सेट करके, एचटीटीपीएस के लिए अपना Edge यूज़र इंटरफ़ेस (यूआई) कॉन्फ़िगरेशन अपडेट करें:
    SSO_PUBLIC_URL_PORT=9443
    SSO_PUBLIC_URL_SCHEME=https

    ज़्यादा जानकारी के लिए, Edge यूज़र इंटरफ़ेस पर एसएएमएल चालू करें देखें.

  5. अगर आपने डेवलपर सेवाओं का पोर्टल इंस्टॉल किया है, तो उसे अपडेट करें, ताकि आप Edge एसएसओ (SSO) को ऐक्सेस करने के लिए एचटीटीपीएस का इस्तेमाल कर सकें. ज़्यादा जानकारी के लिए, Edge से संपर्क करने के लिए एसएएमएल का इस्तेमाल करने के लिए Developer Services पोर्टल को कॉन्फ़िगर करना देखें.

SSL_TERMINATION मोड का इस्तेमाल करते समय एसएसओ (SSO_TOMCAT_PROXY_PORT) सेट करना

आपके पास Edge एसएसओ (SSO) मॉड्यूल के सामने एक लोड बैलेंसर हो सकता है. यह लोड बैलेंसर पर TLS को खत्म कर देता है. साथ ही, लोड बैलेंसर और Edge एसएसओ (SSO) के बीच TLS को चालू कर देता है. SSL_PROXY मोड के लिए ऊपर दी गई इमेज में, इसका मतलब है कि लोड बैलेंसर और Edge एसएसओ (SSO) का कनेक्शन, TLS का इस्तेमाल करता है.

इस स्थिति में, आपको Edge एसएसओ (SSO) पर TLS को उसी तरह कॉन्फ़िगर करने का विकल्प मिलता है जिस तरह आपने SSL_TERMINATION मोड के लिए ऊपर किया है. हालांकि, अगर लोड बैलेंसर, TLS के लिए इस्तेमाल होने वाले EDGE की तुलना में किसी दूसरे TLS पोर्ट नंबर का इस्तेमाल करता है, तो आपको कॉन्फ़िगरेशन फ़ाइल में SSO_TOMCAT_PROXY_PORT प्रॉपर्टी की जानकारी भी देनी होगी. उदाहरण के लिए:

  • लोड बैलेंसर, पोर्ट 443 पर TLS को खत्म कर देता है
  • Edge एसएसओ (SSO) पोर्ट 9443 पर TLS को खत्म कर देता है

कॉन्फ़िगरेशन फ़ाइल में, नीचे दी गई सेटिंग शामिल करना न भूलें:

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

पोर्ट 443 पर एचटीटीपीएस अनुरोध करने के लिए, IDP और Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करें.