Edge for Private Cloud w wersji 4.19.01
Po włączeniu SAML w przeglądarce Edge możesz wyłączyć uwierzytelnianie podstawowe. Zanim jednak wyłączysz uwierzytelnianie podstawowe:
- Sprawdź, czy do dostawcy tożsamości SAML dodano wszystkich użytkowników Edge, w tym administratorów systemu.
- Sprawdź, czy uwierzytelnianie SAML zostało dokładnie przetestowane w interfejsie użytkownika Edge i interfejsie Edge Management API.
- Jeśli korzystasz z portalu Apigee Developer Services (lub portalu), skonfiguruj i przetestuj SAML w portalu, aby upewnić się, że portal może połączyć się z Edge. Zobacz Konfigurowanie portalu do komunikowania się z Edge przy użyciu SAML.
Wyświetlanie bieżącego profilu zabezpieczeń
Możesz wyświetlić profil zabezpieczeń brzegowych, aby określić bieżącą konfigurację i określić, czy uwierzytelnianie podstawowe i SAML są obecnie włączone. Aby wyświetlić bieżący profil zabezpieczeń używany przez Edge, użyj tego wywołania interfejsu Edge Management API na serwerze Edge:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Jeśli nie skonfigurowano jeszcze SAML, odpowiedź wygląda jak poniżej, co oznacza, że uwierzytelnianie podstawowe jest włączone:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
Jeśli masz już włączony protokół SAML, zobaczysz w danych wyjściowych tag <ssoserver>
:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
Zwróć uwagę, że wersja z włączoną obsługą SAML również wyświetla <BasicAuthEnabled>true</BasicAuthEnabled>, co oznacza, że uwierzytelnianie podstawowe jest nadal włączone.
Wyłącz uwierzytelnianie podstawowe
Aby wyłączyć uwierzytelnianie podstawowe, użyj podanego niżej wywołania interfejsu Edge Management API na serwerze zarządzania brzegowym. Pamiętaj, że jako ładunek przekazujesz obiekt XML zwrócony w poprzedniej sekcji. Jedyną różnicą jest ustawienie <BasicAuthEnabled>false</BasicAuthEnabled>:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Po wyłączeniu uwierzytelniania podstawowego każde wywołanie interfejsu Edge Management API, które przekazuje dane logowania podstawowego uwierzytelniania, zwraca ten błąd:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
Włącz ponownie uwierzytelnianie podstawowe
Jeśli z jakiegoś powodu musisz ponownie włączyć uwierzytelnianie podstawowe, wykonaj te czynności:
- Zaloguj się w dowolnym węźle Edge ZooKeeper.
- Uruchom ten skrypt bash, aby wyłączyć wszystkie zabezpieczenia:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Dane wyjściowe wyświetlą się w formacie:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Włącz ponownie uwierzytelnianie podstawowe i uwierzytelnianie SAML:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Możesz ponownie używać uwierzytelniania podstawowego.