Edge para nuvem privada v4.19.01
Para instalar e configurar o módulo SSO do Edge, você precisa gerar dois conjuntos de chaves e certificados TLS. O módulo SSO do Edge usa TLS para proteger a transmissão de informações como parte do processo de handshake de SAML com o IdP SAML.
Criar as chaves e os certificados TLS
As etapas abaixo criam certificados autoassinados que podem ser adequados para seu ambiente de teste, mas você normalmente exige certificados assinados por uma AC para um ambiente de produção.
Para criar a chave de verificação e assinatura e o certificado autoassinado:
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
sudo openssl genrsa -out privkey.pem 2048
sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
sudo chown apigee:apigee *.pem
Criar a chave e o certificado autoassinado, sem senha longa, para se comunicar com o SAML IDP:
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
cd /opt/apigee/customer/application/apigee-sso/saml/
- Gere a chave privada com uma senha longa:
sudo openssl genrsa -aes256 -out server.key 1024
- Remova a senha longa da chave:
sudo openssl rsa -in server.key -out server.key
- Gere uma solicitação de assinatura de certificado para CA:
sudo openssl req -x509 -sha256 -new -key server.key -out server.csr
- Gerar um certificado autoassinado com validade de 365 dias:
sudo openssl x509 -sha256 -days 365 -in server.csr -signkey server.key -out selfsigned.crt
sudo chown apigee:apigee server.key
sudo chown apigee:apigee selfsigned.crt
Para ativar o TLS no módulo SSO do Edge, faça o seguinte: definir SSO_TOMCAT_PROFILE como SSL_TERMINATION ou para SSL_PROXY, não será possível usar um certificado autoassinado. É necessário gerar um certificado de uma AC. Consulte Configurar apigee-sso para acesso HTTPS para mais informações.
Instalar e configurar o SSO do Edge para HTTP acesso
Para instalar o módulo SSO do Edge, apigee-sso
, você precisa usar o mesmo processo
que você usou para instalar o Edge. Como apigee-sso
é representado por um arquivo RPM,
Isso significa que o usuário que está fazendo a instalação precisa ser o usuário raiz ou um usuário com acesso completo ao
acesso. Consulte Visão geral da instalação do Edge para mais informações.
Transmita um arquivo de configuração para o instalador. O arquivo de configuração tem o seguinte formato:
IP1=hostname_or_ip_of_management_server IP2=hostname_or_ip_of_UI_and_apigge_sso ## Management Server configuration. MSIP=$IP1 MGMT_PORT=8080 # Edge sys admin username and password as set when you installed Edge. ADMIN_EMAIL=opdk@google.com APIGEE_ADMINPW=Secret123 # Set the protocol for the Edge management API. Default is http. # Set to https if you enabled TLS on the management API. MS_SCHEME=http ## Postgres configuration. PG_HOST=$IP1 PG_PORT=5432 # Postgres username and password as set when you installed Edge. PG_USER=apigee PG_PWD=postgres # apigee-sso configuration. SSO_PROFILE="saml" # Externally accessible IP or DNS name of apigee-sso. SSO_PUBLIC_URL_HOSTNAME=$IP2 # Default port is 9099. If changing, set both properties to the same value. SSO_PUBLIC_URL_PORT=9099 SSO_TOMCAT_PORT=9099 # Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso. SSO_TOMCAT_PROFILE=DEFAULT SSO_PUBLIC_URL_SCHEME=http # SSO admin user name. The default is ssoadmin. SSO_ADMIN_NAME=ssoadmin # SSO admin password using uppercase, lowercase, number, and special chars. SSO_ADMIN_SECRET=Secret123 # Enable the ability to sign an authentication request with SAML SSO. SSO_SAML_SIGN_REQUEST=y # Path to signing key and secret from "Create the TLS keys and certificates" above. SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem # Name of SAML IDP. For example, okta or adfs. SSO_SAML_IDP_NAME=okta # Text displayed to user when they attempt to access Edge UI. SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP" # The metadata URL from your IDP. # If you have a metadata file, and not a URL, # see "Specifying a metadata file instead of a URL" below. SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata # Specifies to skip TLS validation for the URL specified # by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. # Default value is "n". SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n # SAML service provider key and cert from "Create the TLS keys and certificates" above. SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt # The passphrase used when you created the SAML cert and key. # The section "Create the TLS keys and certificates" above removes the passphrase, # but this property is available if you require a passphrase. # SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123 # Requires that SAML responses be signed by your IDP. SSO_SAML_SIGNED_ASSERTIONS=y # Must configure an SMTP server so Edge SSO can send emails to users. SKIP_SMTP=n SMTPHOST=smtp.example.com SMTPUSER=smtp@example.com # omit for no username SMTPPASSWORD=smtppwd # omit for no password SMTPSSL=n SMTPPORT=25 SMTPMAILFROM="My Company <myco@company.com>"
Para instalar o módulo SSO do Edge:
- Faça login no nó do servidor de gerenciamento. Esse nó já deve ter
apigee-service
instalado conforme descrito em Instale o utilitário de configuração da Apigee Apigee.Observe que você pode instalar o SSO do Edge em um nó diferente. No entanto, esse nó precisa ser capaz de acessar o servidor de gerenciamento pela porta 8080.
- Instale e configure o
apigee-sso
:/opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile
Em que configFile é o arquivo de configuração mostrado acima.
- Instale o utilitário
apigee-ssoadminapi.sh
usado para gerencie usuários administradores e de máquina no móduloapigee-sso
:/opt/apigee/apigee-service/bin/apigee-service apigee-ssoadminapi install
- Saia do shell e faça login novamente para adicionar o
apigee-ssoadminapi.sh
utilitário ao seu caminho.
Especificar um arquivo de metadados em vez de um URL
Se seu IdP não for compatível com um URL de metadados HTTP/HTTPS, você poderá usar um arquivo XML de metadados para configure o Edge SSO:
- Copie o conteúdo do XML de metadados do seu IdP para um arquivo no nó de SSO do Edge. Para
exemplo, copie o XML para:
/opt/apigee/customer/application/apigee-sso/saml/metadata.xml
- Mude a propriedade do arquivo para apigee:apigee:
chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
- Defina o valor de
SSO_SAML_IDP_METADATA_URL
como o caminho absoluto do arquivo:SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml
É necessário prefixar o caminho do arquivo com "
file://
", seguido pelo caminho absoluto de raiz (/).