השבתת אימות בסיסי ב-Edge

Edge for Private Cloud גרסה 4.19.01

לאחר שמפעילים את SAML ב-Edge, אפשר להשבית את Basic Auth. עם זאת, לפני השבתת האימות הבסיסי:

• חשוב לוודא שהוספת את כל משתמשי Edge, כולל מנהלי מערכת, ל-IdP שלך ב-SAML.
• חשוב לוודא שבדקת באופן יסודי את אימות SAML בממשק המשתמש של Edge ובניהול Edge. API.
• אם אתם משתמשים בפורטל השירותים למפתחים של Apigee (או פשוט בפורטל), צריך להגדיר ולבדוק את SAML בפורטל כדי ולוודא שהפורטל יכול להתחבר ל-Edge. מידע נוסף זמין בקטע הגדרת להשתמש ב-SAML לתקשורת עם Edge.

הצגת פרופיל האבטחה הנוכחי

אפשר לעיין בפרופיל האבטחה של Edge כדי לבדוק את התצורה הנוכחית כדי לברר אם התכונות 'אימות בסיסי' ו-SAML מופעלות כרגע. משתמשים בקריאה הבאה ל-Edge management API ב-Edge שרת הניהול כדי להציג את פרופיל האבטחה הנוכחי שבו משתמש Edge:

curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

אם עדיין לא הגדרת SAML, התגובה מוצגת כפי שמוצג למטה ומשמעותה 'אימות בסיסי' היא מופעל:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

אם כבר הפעלתם SAML, התג <ssoserver> יופיע פלט:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

שימו לב שבגרסה שמופעלת בה SAML <BasicAuthEnabled>true</BasicAuthEnabled> פירושו שהאימות הבסיסי הוא עדיין מופעלת.

השבתת האימות הבסיסי

כדי להשבית את Basic, משתמשים בקריאה הבאה ל-Edge management API בשרת Edge Management. אימות שימו לב שאתם מעבירים את אובייקט ה-XML שמוחזר בקטע הקודם בתור המטען הייעודי (payload). היחיד הוא ההבדל <BasicAuthEnabled>false</BasicAuthEnabled>:

curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

אחרי שמשביתים את Basic Auth, כל קריאה ל-Edge management API שעוברת את פרטי הכניסה של Basic Auth מחזירה את השגיאה הבאה:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

הפעלה מחדש של האימות הבסיסי

אם מסיבה כלשהי אתם צריכים להפעיל מחדש את האימות הבסיסי, עליכם לבצע את השלבים הבאים:

1. מתחברים לכל צומת של Edge zoKeeper.
2. מריצים את סקריפט ה-bash הבא כדי להשבית את כל האבטחה:

   #! /bin/bash
   /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
   set /system/securityprofile <SecurityProfile></SecurityProfile>
   quit
   EOF

   הפלט יופיע בפורמט הבא:

   Connecting to localhost:2181
   Welcome to ZooKeeper!
   JLine support is enabled
   WATCHER::
   WatchedEvent state:SyncConnected
   type:None path:null
   [zk: localhost:2181(CONNECTED) 0]
   set /system/securityprofile <SecurityProfile></SecurityProfile>
   cZxid = 0x89
   ...
   [zk: localhost:2181(CONNECTED) 1] quit
   Quitting...

3. הפעלה מחדש של אימות בסיסי ואימות SAML:
   

   curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile
     -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile">
     <UserAccessControl enabled="true">
     <SSOServer>
     <BasicAuthEnabled>true</BasicAuthEnabled>
     <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
     <ServerUrl>http://35.197.37.220:9099</ServerUrl>
     </SSOServer>
     </UserAccessControl>
     </SecurityProfile>'

   עכשיו יש לך אפשרות להשתמש שוב באימות הבסיסי.