Edge for Private Cloud v4.19.01
Para instalar y configurar el módulo de SSO de Edge, primero debes generar dos conjuntos claves y certificados TLS. El módulo de SSO de Edge usa TLS para proteger la transmisión de información como parte del proceso de enlace SAML con el IdP de SAML.
Crea las claves y los certificados TLS
En los siguientes pasos, se crean certificados autofirmados, lo cual puede ser adecuado para tu entorno de pruebas, Por lo general, necesitas certificados firmados por una AC para un entorno de producción.
Para crear la clave de verificación y firma, y el certificado autofirmado, haz lo siguiente:
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
sudo openssl genrsa -out privkey.pem 2048
sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
sudo chown apigee:apigee *.pem
Para crear la clave y el certificado autofirmado, sin frase de contraseña, para comunicarse con SAML IDP:
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
cd /opt/apigee/customer/application/apigee-sso/saml/
- Genera tu clave privada con una frase de contraseña:
sudo openssl genrsa -aes256 -out server.key 1024
- Quita la frase de contraseña de la clave:
sudo openssl rsa -in server.key -out server.key
- Genera una solicitud de firma de certificado para la AC:
sudo openssl req -x509 -sha256 -new -key server.key -out server.csr
- Genera un certificado autofirmado con una hora de vencimiento de 365 días:
sudo openssl x509 -sha256 -days 365 -in server.csr -signkey server.key -out selfsigned.crt
sudo chown apigee:apigee server.key
sudo chown apigee:apigee selfsigned.crt
Si quieres habilitar TLS en el módulo de SSO de Edge, estableciendo SSO_TOMCAT_PROFILE en SSL_TERMINATION o a SSL_PROXY, no puedes usar un certificado autofirmado. Debes generar un certificado de una AC. Consulta Configura Apigee-sso para acceso HTTPS para obtener más información.
Instala y configura el SSO de Edge para HTTP acceso
Para instalar el módulo de SSO de Edge, apigee-sso
, debes usar el mismo proceso
que usaste para instalar Edge. Como apigee-sso
se representa con un archivo RPM,
Esto significa que el usuario que realiza la instalación debe ser el usuario raíz o un usuario con sudo completo
el acceso a los datos. Consulta Descripción general de la instalación de Edge para obtener más información.
Pasa un archivo de configuración al instalador. El archivo de configuración tiene el siguiente formato:
IP1=hostname_or_ip_of_management_server IP2=hostname_or_ip_of_UI_and_apigge_sso ## Management Server configuration. MSIP=$IP1 MGMT_PORT=8080 # Edge sys admin username and password as set when you installed Edge. ADMIN_EMAIL=opdk@google.com APIGEE_ADMINPW=Secret123 # Set the protocol for the Edge management API. Default is http. # Set to https if you enabled TLS on the management API. MS_SCHEME=http ## Postgres configuration. PG_HOST=$IP1 PG_PORT=5432 # Postgres username and password as set when you installed Edge. PG_USER=apigee PG_PWD=postgres # apigee-sso configuration. SSO_PROFILE="saml" # Externally accessible IP or DNS name of apigee-sso. SSO_PUBLIC_URL_HOSTNAME=$IP2 # Default port is 9099. If changing, set both properties to the same value. SSO_PUBLIC_URL_PORT=9099 SSO_TOMCAT_PORT=9099 # Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso. SSO_TOMCAT_PROFILE=DEFAULT SSO_PUBLIC_URL_SCHEME=http # SSO admin user name. The default is ssoadmin. SSO_ADMIN_NAME=ssoadmin # SSO admin password using uppercase, lowercase, number, and special chars. SSO_ADMIN_SECRET=Secret123 # Enable the ability to sign an authentication request with SAML SSO. SSO_SAML_SIGN_REQUEST=y # Path to signing key and secret from "Create the TLS keys and certificates" above. SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem # Name of SAML IDP. For example, okta or adfs. SSO_SAML_IDP_NAME=okta # Text displayed to user when they attempt to access Edge UI. SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP" # The metadata URL from your IDP. # If you have a metadata file, and not a URL, # see "Specifying a metadata file instead of a URL" below. SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata # Specifies to skip TLS validation for the URL specified # by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. # Default value is "n". SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n # SAML service provider key and cert from "Create the TLS keys and certificates" above. SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt # The passphrase used when you created the SAML cert and key. # The section "Create the TLS keys and certificates" above removes the passphrase, # but this property is available if you require a passphrase. # SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123 # Requires that SAML responses be signed by your IDP. SSO_SAML_SIGNED_ASSERTIONS=y # Must configure an SMTP server so Edge SSO can send emails to users. SKIP_SMTP=n SMTPHOST=smtp.example.com SMTPUSER=smtp@example.com # omit for no username SMTPPASSWORD=smtppwd # omit for no password SMTPSSL=n SMTPPORT=25 SMTPMAILFROM="My Company <myco@company.com>"
Para instalar el módulo de SSO de Edge, sigue estos pasos:
- Accede al nodo del servidor de administración. Ese nodo ya debería tener
Se instaló
apigee-service
como se describe en Instala la utilidad de Apigee-setup de Edge.Ten en cuenta que puedes instalar el SSO de Edge en otro nodo. Sin embargo, ese nodo debe poder el servidor de administración a través del puerto 8080.
- Instala y configura
apigee-sso
:/opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile
Donde configFile es el archivo de configuración que se muestra arriba.
- Instala la utilidad
apigee-ssoadminapi.sh
que se usa para Administra los usuarios del administrador y de la máquina para el móduloapigee-sso
:/opt/apigee/apigee-service/bin/apigee-service apigee-ssoadminapi install
- Sal de la shell y, luego, vuelve a acceder para agregar
apigee-ssoadminapi.sh
. a tu camino.
Especifica un archivo de metadatos en lugar de una URL
Si tu IdP no admite una URL de metadatos HTTP/HTTPS, puedes usar un archivo XML de metadatos para configurar el SSO de Edge:
- Copia el contenido de los metadatos XML de tu IdP a un archivo en el nodo de SSO de Edge. Para
ejemplo, copia el XML a:
/opt/apigee/customer/application/apigee-sso/saml/metadata.xml
- Cambia la propiedad del archivo a Apigee:apigee:
chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
- Configura el valor de
SSO_SAML_IDP_METADATA_URL
como la ruta absoluta del archivo:SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml
Debes agregar el prefijo “
file://
” seguido de la ruta de acceso absoluta desde raíz (/).