Edge cho đám mây riêng tư phiên bản 4.19.01
Sau khi bật SAML trên Edge, bạn có thể tắt tính năng Xác thực cơ bản. Tuy nhiên, trước khi bạn tắt tính năng Xác thực cơ bản:
- Đảm bảo rằng bạn đã thêm tất cả người dùng Edge, bao gồm cả quản trị viên hệ thống, vào nhà cung cấp danh tính (IDP) SAML.
- Hãy đảm bảo rằng bạn đã kiểm tra kỹ lưỡng quy trình xác thực SAML trên giao diện người dùng Edge và API quản lý Edge.
- Nếu bạn đang sử dụng cổng Dịch vụ dành cho nhà phát triển Apigee (hay đơn giản là cổng), hãy định cấu hình và kiểm tra SAML trên cổng thông tin để đảm bảo rằng cổng này có thể kết nối với Edge. Xem phần Định cấu hình cổng thông tin để dùng SAML để giao tiếp với Edge.
Xem hồ sơ bảo mật hiện tại
Bạn có thể xem hồ sơ bảo mật của Edge để xác định cấu hình hiện tại nhằm xác định xem bạn hiện đã bật tính năng Xác thực cơ bản và SAML hay chưa. Sử dụng lệnh gọi API quản lý Edge sau đây trên Máy chủ quản lý Edge để xem hồ sơ bảo mật hiện tại mà Edge sử dụng:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Nếu bạn chưa định cấu hình SAML, thì phản hồi sẽ có dạng như dưới đây, nghĩa là tính năng Xác thực cơ bản đã được bật:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
Nếu đã bật SAML, bạn sẽ thấy thẻ <ssoserver> trong kết quả:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
Lưu ý rằng phiên bản đã bật SAML cũng sẽ hiện <BasicAuthEnabled>true</BasicAuthEnabled>, nghĩa là vẫn bật tính năng Xác thực cơ bản.
Tắt tính năng xác thực cơ bản
Sử dụng lệnh gọi API quản lý Edge sau đây trên Máy chủ quản lý cạnh để tắt tính năng Xác thực cơ bản. Lưu ý rằng bạn truyền dưới dạng tải trọng mà đối tượng XML đã trả về trong phần trước. Điểm khác biệt duy nhất là bạn đặt giá trị <BasicAuthEnabled>false</BasicAuthEnabled>:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
Sau khi bạn tắt tính năng Xác thực cơ bản, mọi lệnh gọi API quản lý Edge chuyển thông tin xác thực cơ bản sẽ trả về lỗi sau:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
Bật lại tính năng Xác thực cơ bản
Nếu phải bật lại tính năng Xác thực cơ bản vì bất kỳ lý do gì, bạn phải thực hiện các bước sau:
- Đăng nhập vào bất kỳ nút Edge ZooKeeper nào.
- Chạy tập lệnh bash sau để tắt toàn bộ tính năng bảo mật:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Bạn sẽ thấy kết quả dưới dạng:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Bật lại tính năng xác thực cơ bản và xác thực SAML:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Bây giờ, bạn có thể sử dụng lại tính năng Xác thực cơ bản.