Edge で Basic 認証を無効にする

Edge for Private Cloud v4.19.01

Edge で SAML を有効にした後、Basic 認証を無効にできます。ただし、Basic 認証を無効にする前に次のことを行ってください。

  • システム管理者を含むすべての Edge ユーザーが SAML IDP に追加されていることを確認します。
  • Edge UI と Edge 管理 API で SAML 認証が十分にテスト済みであることを確認します。
  • Apigee Developer Services ポータル(以下「ポータル」)を使用している場合は、ポータルで SAML を構成してテストし、ポータルが Edge に接続できることを確認します。SAML を使用して Edge と通信するようにポータルを構成するをご覧ください。

現在のセキュリティ プロファイルを表示する

Edge セキュリティ プロファイルを表示して現在の構成を確認し、Basic 認証と SAML が有効になっているかどうかを判断できます。Edge で現在使用されているセキュリティ プロファイルを表示するには、Edge Management Server で次の Edge 管理 API 呼び出しを行います。

curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

まだ SAML を構成していない場合は、Basic 認証が有効であることを示すレスポンスが次のように表示されます。

    <SecurityProfile enabled="true" name="securityprofile">
        <UserAccessControl enabled="true">
        </UserAccessControl>
    </SecurityProfile>
    

SAML が有効である場合は、出力に <ssoserver> タグが含まれます。

    <SecurityProfile enabled="true" name="securityprofile">
        <UserAccessControl enabled="true">
            <SSOServer>
                <BasicAuthEnabled>true</BasicAuthEnabled>
                <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
                <ServerUrl>http://35.197.37.220:9099</ServerUrl>
            </SSOServer>
        </UserAccessControl>
    </SecurityProfile>
    

SAML が有効なバージョンでも、Basic 認証が有効であることを意味する <BasicAuthEnabled>true</BasicAuthEnabled> が表示されます。

Basic 認証を無効にする

Basic 認証を無効にするには、Edge Management Server で次の Edge 管理 API 呼び出しを行います。ここでは、前のセクションで返された XML オブジェクトをペイロードとして渡します。唯一の違いは、<BasicAuthEnabled>false</BasicAuthEnabled> を設定することです。

    curl -H "Content-Type: application/xml"
    http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
     '<SecurityProfile enabled="true" name="securityprofile">
      <UserAccessControl enabled="true">
        <SSOServer>
          <BasicAuthEnabled>false</BasicAuthEnabled>
          <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
          <ServerUrl>http://35.197.37.220:9099</ServerUrl>
      </SSOServer>
     </UserAccessControl>
    </SecurityProfile>'

Basic 認証を無効にした後に、Basic 認証の認証情報を渡す Edge 管理 API 呼び出しを行うと、次のエラーが返されます。

<Error>
        <Code>security.SecurityProfileBasicAuthDisabled</Code>
        <Message>Basic Authentication scheme not allowed</Message>
        <Contexts/>
    </Error>

Basic 認証を再度有効にする

なんらかの理由で Basic 認証を再度有効にする必要がある場合は、次の手順を行います。

  1. 任意の Edge ZooKeeper ノードにログインします。
  2. 次の bash スクリプトを実行してすべてのセキュリティを無効にします。
    #! /bin/bash
        /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
        set /system/securityprofile <SecurityProfile></SecurityProfile>
        quit
        EOF

    出力は次のようになります。

    Connecting to localhost:2181
        Welcome to ZooKeeper!
        JLine support is enabled
        WATCHER::
        WatchedEvent state:SyncConnected
        type:None path:null
        [zk: localhost:2181(CONNECTED) 0]
        set /system/securityprofile <SecurityProfile></SecurityProfile>
        cZxid = 0x89
        ...
        [zk: localhost:2181(CONNECTED) 1] quit
        Quitting...
  3. Basic 認証と SAML 認証を再度有効にします。
    curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile
          -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile">
          <UserAccessControl enabled="true">
          <SSOServer>
          <BasicAuthEnabled>true</BasicAuthEnabled>
          <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
          <ServerUrl>http://35.197.37.220:9099</ServerUrl>
          </SSOServer>
          </UserAccessControl>
          </SecurityProfile>'

    これで Basic 認証を再び使用できます。