Edge per Private Cloud v4.19.01
Dopo aver abilitato SAML su Edge, puoi disabilitare l'autenticazione di base. Tuttavia, prima di disattiva l'autenticazione di base:
- Assicurati di aver aggiunto tutti gli utenti Edge, inclusi gli amministratori di sistema, al tuo IdP SAML.
- Assicurati di aver testato accuratamente l'autenticazione SAML nella UI perimetrale e alla gestione perimetrale tramite Google Cloud CLI o tramite l'API Compute Engine.
- Se utilizzi il portale Apigee Developer Services (o semplicemente il portale), configura e testa SAML sul portale per assicurati che il portale possa connettersi a Edge. Consulta la sezione Configurazione per utilizzare SAML per comunicare con Edge.
Visualizzazione del profilo di sicurezza attuale
Puoi visualizzare il profilo di sicurezza Edge per determinare la configurazione attuale e stabilire se Auth di base e SAML sono attualmente abilitati. Usa la seguente chiamata all'API di gestione perimetrale su Edge Server di gestione per visualizzare il profilo di sicurezza corrente utilizzato da Edge:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Se non hai ancora configurato SAML, la risposta è quella mostrata di seguito, a indicare che l'autenticazione di base è attivato:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
Se hai già attivato SAML, vedrai il tag <ssoserver> nella
:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
Tieni presente che la versione con SAML abilitato mostra anche <BasicAuthEnabled>true</BasicAuthEnabled> che indica che l'autenticazione di base è ancora attiva.
Disabilita autenticazione di base
Usa la seguente chiamata all'API di gestione perimetrale su Edge Management Server per disabilitare la funzionalità di base Autentica. Tieni presente che passi come payload l'oggetto XML restituito nella sezione precedente. L'unico è che imposti <BasicAuthEnabled>false</BasicAuthEnabled>:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
Dopo aver disabilitato Auth di base, qualsiasi chiamata all'API di gestione Edge che passa le credenziali di autenticazione di base restituisce il seguente errore:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
Riattiva autenticazione di base
Se per qualsiasi motivo devi riattivare l'autenticazione di base, devi seguire questi passaggi:
- Accedi a qualsiasi nodo Edge ZooKeeper.
- Esegui il seguente script bash per disattivare tutte le misure di sicurezza:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
L'output verrà visualizzato nel seguente formato:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Riattiva autenticazione di base e autenticazione SAML:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Ora puoi utilizzare di nuovo l'autenticazione di base.