Edge for Private Cloud w wersji 4.19.01
Po włączeniu SAML w Edge możesz wyłączyć uwierzytelnianie podstawowe. Jednak przed wyłącz uwierzytelnianie podstawowe:
- Upewnij się, że do dostawcy tożsamości SAML zostali dodani wszyscy użytkownicy Edge, w tym administratorzy systemu.
- Sprawdź, czy uwierzytelnianie SAML zostało dokładnie przetestowane w interfejsie Edge i zarządzaniu urządzeniami brzegowymi API.
- Jeśli korzystasz z portalu usług dla deweloperów Apigee (lub po prostu portalu), skonfiguruj i przetestuj SAML w portalu, aby sprawdź, czy portal może połączyć się z Edge. Patrz sekcja Konfigurowanie przez SAML do komunikacji z Edge.
Wyświetlanie bieżącego profilu zabezpieczeń
Możesz wyświetlić profil zabezpieczeń Edge, aby określić bieżącą konfigurację i określić, czy Uwierzytelnianie podstawowe i SAML są obecnie włączone. Użyj tego wywołania interfejsu Edge Management API na urządzeniu Edge Serwer zarządzania pozwalający wyświetlić bieżący profil zabezpieczeń używany przez Edge:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Jeśli protokół SAML nie został jeszcze skonfigurowany, odpowiedź ma postać przedstawioną poniżej, co oznacza, że uwierzytelnianie podstawowe jest włączono:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
Jeśli masz już włączoną obsługę SAML, w sekcji<ssoserver>
dane wyjściowe:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
Zwróć uwagę, że wyświetla się też wersja z włączoną obsługą SAML <BasicAuthEnabled>true</BasicAuthEnabled> oznacza, że uwierzytelnianie podstawowe to jest nadal włączona.
Wyłącz uwierzytelnianie podstawowe
Aby wyłączyć podstawowe, użyj tego wywołania interfejsu Edge Management API na serwerze zarządzania brzegiem Auth. Zwróć uwagę, że jako ładunek przekazujesz obiekt XML zwrócony w poprzedniej sekcji. Jedyna Różnica polega na tym, że ustawiasz <BasicAuthEnabled>false</BasicAuthEnabled>:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
Po wyłączeniu uwierzytelniania podstawowego każde wywołanie interfejsu Edge Management API przekazuje dane logowania podstawowego uwierzytelniania zwraca taki błąd:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
Ponownie włącz uwierzytelnianie podstawowe
Jeśli z jakiegoś powodu musisz ponownie włączyć uwierzytelnianie podstawowe, musisz wykonać te czynności:
- Zaloguj się w dowolnym węźle Edge ZooKeeper.
- Aby wyłączyć całe zabezpieczenia, uruchom ten skrypt bash:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Dane wyjściowe zobaczysz w tym formacie:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Włącz ponownie uwierzytelnianie podstawowe i uwierzytelnianie SAML:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Możesz teraz ponownie używać uwierzytelniania podstawowego.