Edge for Private Cloud 4.19.01 sürümü
Edge'de SAML'yi etkinleştirdikten sonra Temel Kimlik Doğrulama'yı devre dışı bırakabilirsiniz. Ancak, Temel Kimlik Doğrulama'yı devre dışı bırakmadan önce:
- Sistem yöneticileri de dahil olmak üzere tüm Edge kullanıcılarını SAML IDP'nize eklediğinizden emin olun.
- Edge kullanıcı arayüzü ve Edge Management API'de SAML kimlik doğrulamasını kapsamlı bir şekilde test ettiğinizden emin olun.
- Apigee Developer Services portalını (veya daha basit bir şekilde portalı) kullanıyorsanız portalın Edge'e bağlanabildiğinden emin olmak için portalda SAML'yi yapılandırıp test edin. Portalı, Edge ile iletişim kurmak için SAML'yi kullanacak şekilde yapılandırma bölümüne bakın.
Geçerli güvenlik profilini görüntüleme
Temel Kimlik Doğrulama ve SAML'nin etkin olup olmadığını belirlemek için geçerli yapılandırmayı belirlemek amacıyla Edge güvenlik profilini görüntüleyebilirsiniz. Edge tarafından kullanılan geçerli güvenlik profilini görüntülemek için Uç Yönetim Sunucusu'nda aşağıdaki Edge Management API çağrısını kullanın:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
SAML'yi henüz yapılandırmadıysanız yanıt aşağıda gösterildiği gibidir, yani Temel Kimlik Doğrulama etkindir:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
SAML'yi zaten etkinleştirdiyseniz çıkışta <ssoserver> etiketini görürsünüz:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
SAML'nin etkin olduğu sürümün de Temel Kimlik Doğrulama'nın hâlâ etkin olduğu anlamına gelen <BasicAuthEnabled>true</BasicAuthEnabled> değerini gösterdiğine dikkat edin.
Temel Yetkilendirmeyi Devre Dışı Bırak
Temel Kimlik Doğrulama'yı devre dışı bırakmak için Uç Yönetim Sunucusu'nda aşağıdaki Edge Management API çağrısını kullanın. Önceki bölümde döndürülen XML nesnesini yük olarak ilettiğinizi unutmayın. Tek fark, <BasicAuthEnabled>false</BasicAuthEnabled>'ı ayarlamanızdır:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
Temel Kimlik Doğrulama'yı devre dışı bıraktıktan sonra, Temel Kimlik Doğrulama kimlik bilgilerini ileten tüm Edge yönetimi API çağrıları aşağıdaki hatayı döndürür:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
Temel Kimlik Doğrulamayı Yeniden Etkinleştir
Herhangi bir nedenle Temel Kimlik Doğrulama'yı yeniden etkinleştirmeniz gerekirse aşağıdaki adımları uygulamalısınız:
- Herhangi bir Edge ZooKeeper düğümüne giriş yapın.
- Tüm güvenliği kapatmak için aşağıdaki bash komut dosyasını çalıştırın:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Çıkışı şu biçimde görürsünüz:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Temel Kimlik Doğrulama ve SAML kimlik doğrulamasını yeniden etkinleştirin:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Artık Temel Kimlik Doğrulama'yı tekrar kullanabilirsiniz.