Como desativar a autenticação básica no Edge

Edge para nuvem privada v4.19.01

Depois de ativar o SAML no Edge, você pode desativar a autenticação básica. No entanto, antes de desativar a autenticação básica:

  • Verifique se você adicionou todos os usuários do Edge, incluindo administradores do sistema, ao IdP SAML.
  • Verifique se você testou por completo a autenticação SAML na UI e no Gerenciamento de borda API.
  • Se você estiver usando o portal Apigee Developer Services (ou simplesmente o portal), configure e teste o SAML no portal para garantir que o portal possa se conectar ao Edge. Consulte Como configurar o portal para usar o SAML para se comunicar com o Edge.

Como visualizar o perfil de segurança atual

É possível visualizar o perfil de segurança do Edge para determinar a configuração atual e saber se A autenticação básica e o SAML estão ativados. Use a seguinte chamada da API Edge Management na borda Management Server para visualizar o perfil de segurança atual usado pelo Edge:

curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Se você ainda não configurou o SAML, veja abaixo a resposta que indica que a Autenticação básica é ativado:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Se você já tiver ativado o SAML, verá a tag <ssoserver> na saída:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

A versão com SAML ativado também mostra &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt; significa que a Autenticação básica é ainda ativado.

Desativar a autenticação básica

Use a seguinte chamada da API de gerenciamento de borda no servidor de gerenciamento de borda para desativar a edição Basic Autenticação Observe que você transmite como payload o objeto XML retornado na seção anterior. O único a diferença é que você define &lt;BasicAuthEnabled&gt;false&lt;/BasicAuthEnabled&gt;:

curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Depois que você desativar a autenticação básica, qualquer chamada da API de gerenciamento de borda que transmita as credenciais dessa autenticação retorna o seguinte erro:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Reativar a autenticação básica

Se, por algum motivo, você precisar reativar a autenticação básica, siga estas etapas:

  1. Faça login em qualquer nó do Edge ZooKeeper.
  2. Execute este script bash para desativar toda a segurança:
    #! /bin/bash
    /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
    set /system/securityprofile <SecurityProfile></SecurityProfile>
    quit
    EOF

    Você verá a saída no formulário:

    Connecting to localhost:2181
    Welcome to ZooKeeper!
    JLine support is enabled
    WATCHER::
    WatchedEvent state:SyncConnected
    type:None path:null
    [zk: localhost:2181(CONNECTED) 0]
    set /system/securityprofile <SecurityProfile></SecurityProfile>
    cZxid = 0x89
    ...
    [zk: localhost:2181(CONNECTED) 1] quit
    Quitting...
  3. Reativar a autenticação básica e do SAML:
    curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile
      -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile">
      <UserAccessControl enabled="true">
      <SSOServer>
      <BasicAuthEnabled>true</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
      </SSOServer>
      </UserAccessControl>
      </SecurityProfile>'

    Agora você pode usar a autenticação básica novamente.