Edge for Private Cloud Version 4.19.01
Nachdem Sie SAML in Edge aktiviert haben, können Sie die Basisauthentifizierung deaktivieren. Bevor Sie jedoch die Basisauthentifizierung deaktivieren, müssen Sie Folgendes tun:
- Achten Sie darauf, dass Sie Ihrem SAML-IdP alle Edge-Nutzer, einschließlich Systemadministratoren, hinzugefügt haben.
- Prüfen Sie, ob Sie die SAML-Authentifizierung auf der Edge-Benutzeroberfläche und der Edge Management API gründlich getestet haben.
- Wenn Sie das Apigee Developer Services-Portal (oder einfach das Portal) verwenden, konfigurieren und testen Sie SAML auf dem Portal, damit das Portal eine Verbindung zu Edge herstellen kann. Weitere Informationen finden Sie unter Portal für die Verwendung von SAML für die Kommunikation mit Edge konfigurieren.
Aktuelles Sicherheitsprofil ansehen
Sie können das Edge-Sicherheitsprofil aufrufen, um die aktuelle Konfiguration zu ermitteln und festzustellen, ob Basic Auth und SAML derzeit aktiviert sind. Verwenden Sie den folgenden Edge-Management-API-Aufruf auf dem Edge Management Server, um das aktuelle Sicherheitsprofil aufzurufen, das von Edge verwendet wird:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Wenn Sie SAML noch nicht konfiguriert haben, sieht die Antwort aus, was bedeutet, dass Basic Auth aktiviert ist:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
Wenn Sie SAML bereits aktiviert haben, wird in der Ausgabe das Tag <ssoserver> angezeigt:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
Beachten Sie, dass für die Version mit aktiviertem SAML auch <BasicAuthEnabled>true</BasicAuthEnabled> angezeigt wird, was bedeutet, dass Basic Auth noch aktiviert ist.
Basic Auth deaktivieren
Verwenden Sie den folgenden Edge-Management-API-Aufruf auf dem Edge Management Server, um die Basisauthentifizierung zu deaktivieren. Beachten Sie, dass Sie als Nutzlast das im vorherigen Abschnitt zurückgegebene XML-Objekt übergeben. Der einzige Unterschied besteht darin, dass Sie <BasicAuthEnabled>false</BasicAuthEnabled> festlegen:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
Nachdem Sie Basic Auth deaktiviert haben, gibt jeder Edge-Management-API-Aufruf, der die Basic Auth-Anmeldedaten übergibt, den folgenden Fehler zurück:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
Basic Auth wieder aktivieren
Wenn Sie die Basic Auth aus irgendeinem Grund erneut aktivieren müssen, müssen Sie die folgenden Schritte ausführen:
- Melden Sie sich bei einem beliebigen Edge-ZooKeeper-Knoten an.
- Führen Sie das folgende Bash-Skript aus, um alle Sicherheitsmaßnahmen zu deaktivieren:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Die Ausgabe sieht im folgenden Format aus:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Aktivieren Sie Basic Auth und SAML-Authentifizierung wieder:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Sie können jetzt die Basisauthentifizierung wieder verwenden.