Edge for Private Cloud גרסה 4.19.01
אחרי שמפעילים SAML ב-Edge, אפשר להשבית את Basic Auth. עם זאת, לפני שמשביתים את Basic Auth:
- חשוב לוודא שהוספת את כל משתמשי Edge, כולל מנהלי מערכת, ל-IdP ב-SAML.
- חשוב לוודא שבדקת היטב את אימות SAML בממשק המשתמש של Edge וב-Edge Management API.
- אם משתמשים בפורטל Apigee Developer Services (או פשוט בפורטל), צריך להגדיר ולבדוק את SAML בפורטל כדי לוודא שהפורטל יכול להתחבר ל-Edge. למידע נוסף, אפשר לקרוא את המאמר הגדרת הפורטל לשימוש ב-SAML לצורך תקשורת עם Edge.
הצגת פרופיל האבטחה הנוכחי
אפשר להציג את פרופיל האבטחה של Edge כדי לקבוע את ההגדרה הנוכחית, ולקבוע אם Basic Auth ו-SAML מופעלים כרגע. כדי להציג את פרופיל האבטחה הנוכחי שבו משתמש Edge, צריך להשתמש בקריאה הבאה ל-Edge Management API בשרת הניהול של Edge:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
אם עדיין לא הגדרת SAML, התגובה תופיע בהמשך, כלומר, מופעל 'אימות בסיסי':
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
אם כבר הפעלתם את SAML, התג <ssoserver>
יופיע
בפלט:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
שימו לב שבגרסה שבה SAML מופעל מוצג גם <BasicAuthEnabled>true</BasicAuthEnabled>, והמשמעות היא שהאימות הבסיסי (Basic Auth) עדיין יפעל.
השבתת האימות הבסיסי
כדי להשבית את Basic Auth, משתמשים בקריאה הבאה ל-Edge Management API בשרת Edge Management. שימו לב שצריך להעביר בתור המטען הייעודי (payload) את אובייקט ה-XML שהוחזר בקטע הקודם. ההבדל היחיד הוא שמגדירים את <BasicAuthEnabled>false</BasicAuthEnabled>:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
אחרי השבתת Basic Auth, כל קריאה ל-Edge Management API שתעביר את פרטי הכניסה של Basic Auth תחזיר את השגיאה הבאה:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
הפעלה מחדש של האימות הבסיסי
אם מסיבה כלשהי עליך להפעיל מחדש את Basic Auth, עליך לבצע את השלבים הבאים:
- מתחברים לכל צומת של EdgezoKeeper.
- כדי להשבית את כל פעולות האבטחה, מריצים את סקריפט ה-Bash הבא:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
הפלט יופיע בצורה הבאה:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- הפעלה מחדש של אימות בסיסי ואימות SAML:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
עכשיו אפשר להשתמש שוב באימות הבסיסי.