Edge for Private Cloud نسخه 4.19.01
نصب و پیکربندی ماژول Edge SSO مستلزم آن است که ابتدا دو مجموعه کلید و گواهی TLS تولید کنید. ماژول Edge SSO از TLS برای ایمن سازی انتقال اطلاعات به عنوان بخشی از فرآیند دست دادن SAML با SAML IDP استفاده می کند.
کلیدها و گواهینامه های TLS را ایجاد کنید
مراحل زیر گواهیهای خودامضا را ایجاد میکنند که ممکن است برای محیط آزمایش شما مناسب باشد، اما معمولاً برای محیط تولید به گواهیهایی نیاز دارید که توسط یک CA امضا شده باشد.
برای ایجاد کلید تأیید و امضا و گواهی خودامضا:
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
sudo openssl genrsa -out privkey.pem 2048
sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
sudo chown apigee:apigee *.pem
برای ایجاد گواهی کلید و خودامضا، بدون عبارت عبور، برای برقراری ارتباط با SAML IDP:
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
cd /opt/apigee/customer/application/apigee-sso/saml/
- کلید خصوصی خود را با یک عبارت عبور ایجاد کنید:
sudo openssl genrsa -aes256 -out server.key 1024
- عبارت عبور را از کلید حذف کنید:
sudo openssl rsa -in server.key -out server.key
- ایجاد درخواست امضای گواهی برای CA:
sudo openssl req -x509 -sha256 -new -key server.key -out server.csr
- تولید گواهی خودامضا با 365 روز زمان انقضا:
sudo openssl x509 -sha256 -days 365 -in server.csr -signkey server.key -out selfsigned.crt
sudo chown apigee:apigee server.key
sudo chown apigee:apigee selfsigned.crt
اگر میخواهید TLS را در ماژول SSO Edge فعال کنید، با تنظیم SSO_TOMCAT_PROFILE بر روی SSL_TERMINATION یا SSL_PROXY ، نمیتوانید از گواهی امضاشده خود استفاده کنید. شما باید یک گواهی از یک CA ایجاد کنید. برای اطلاعات بیشتر به پیکربندی apigee-sso برای دسترسی HTTPS مراجعه کنید.
Edge SSO را برای دسترسی HTTP نصب و پیکربندی کنید
برای نصب ماژول Edge SSO، apigee-sso
، باید از همان فرآیندی استفاده کنید که برای نصب Edge استفاده کردید. از آنجا که apigee-sso
با یک فایل RPM نشان داده می شود، به این معنی است که کاربری که نصب را انجام می دهد باید کاربر اصلی باشد یا کاربری باشد که دسترسی کامل sudo دارد. برای اطلاعات بیشتر به نمای کلی نصب Edge مراجعه کنید.
یک فایل کانفیگ را به نصب کننده ارسال کنید. فایل کانفیگ به شکل زیر است:
IP1=hostname_or_ip_of_management_server IP2=hostname_or_ip_of_UI_and_apigge_sso ## Management Server configuration. MSIP=$IP1 MGMT_PORT=8080 # Edge sys admin username and password as set when you installed Edge. ADMIN_EMAIL=opdk@google.com APIGEE_ADMINPW=Secret123 # Set the protocol for the Edge management API. Default is http. # Set to https if you enabled TLS on the management API. MS_SCHEME=http ## Postgres configuration. PG_HOST=$IP1 PG_PORT=5432 # Postgres username and password as set when you installed Edge. PG_USER=apigee PG_PWD=postgres # apigee-sso configuration. SSO_PROFILE="saml" # Externally accessible IP or DNS name of apigee-sso. SSO_PUBLIC_URL_HOSTNAME=$IP2 # Default port is 9099. If changing, set both properties to the same value. SSO_PUBLIC_URL_PORT=9099 SSO_TOMCAT_PORT=9099 # Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso. SSO_TOMCAT_PROFILE=DEFAULT SSO_PUBLIC_URL_SCHEME=http # SSO admin user name. The default is ssoadmin. SSO_ADMIN_NAME=ssoadmin # SSO admin password using uppercase, lowercase, number, and special chars. SSO_ADMIN_SECRET=Secret123 # Enable the ability to sign an authentication request with SAML SSO. SSO_SAML_SIGN_REQUEST=y # Path to signing key and secret from "Create the TLS keys and certificates" above. SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem # Name of SAML IDP. For example, okta or adfs. SSO_SAML_IDP_NAME=okta # Text displayed to user when they attempt to access Edge UI. SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP" # The metadata URL from your IDP. # If you have a metadata file, and not a URL, # see "Specifying a metadata file instead of a URL" below. SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata # Specifies to skip TLS validation for the URL specified # by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. # Default value is "n". SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n # SAML service provider key and cert from "Create the TLS keys and certificates" above. SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt # The passphrase used when you created the SAML cert and key. # The section "Create the TLS keys and certificates" above removes the passphrase, # but this property is available if you require a passphrase. # SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123 # Requires that SAML responses be signed by your IDP. SSO_SAML_SIGNED_ASSERTIONS=y # Must configure an SMTP server so Edge SSO can send emails to users. SKIP_SMTP=n SMTPHOST=smtp.example.com SMTPUSER=smtp@example.com # omit for no username SMTPPASSWORD=smtppwd # omit for no password SMTPSSL=n SMTPPORT=25 SMTPMAILFROM="My Company <myco@company.com>"
برای نصب ماژول Edge SSO:
- وارد گره مدیریت سرور شوید. آن گره باید قبلاً
apigee-service
را همانطور که در Install the Edge apigee-setup utility توضیح داده شده نصب کرده باشد.توجه داشته باشید که می توانید Edge SSO را روی گره دیگری نصب کنید. با این حال، آن گره باید بتواند از طریق پورت 8080 به مدیریت سرور دسترسی داشته باشد.
- نصب و پیکربندی
apigee-sso
:/opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile
جایی که configFile فایل پیکربندی است که در بالا نشان داده شده است.
- ابزار
apigee-ssoadminapi.sh
مورد استفاده برای مدیریت مدیران و کاربران ماشین برای ماژولapigee-sso
را نصب کنید:/opt/apigee/apigee-service/bin/apigee-service apigee-ssoadminapi install
- از پوسته خارج شوید و دوباره وارد شوید تا ابزار
apigee-ssoadminapi.sh
را به مسیر خود اضافه کنید.
به جای URL یک فایل فراداده را مشخص کنید
اگر IDP شما از URL فراداده HTTP/HTTPS پشتیبانی نمی کند، می توانید از یک فایل XML فراداده برای پیکربندی Edge SSO استفاده کنید:
- محتویات فراداده XML را از IDP خود در فایلی در گره Edge SSO کپی کنید. به عنوان مثال، XML را در زیر کپی کنید:
/opt/apigee/customer/application/apigee-sso/saml/metadata.xml
- تغییر مالکیت فایل به apigee:apigee:
chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
- مقدار
SSO_SAML_IDP_METADATA_URL
را روی مسیر فایل مطلق تنظیم کنید:SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml
شما باید مسیر فایل را با "
file://
" پیشوند و به دنبال آن مسیر مطلق از ریشه (/) قرار دهید.