Edge TOA hizmetini yükleme ve yapılandırma

Edge for Private Cloud 4.19.01 sürümü

Edge TOA modülünü yüklemek ve yapılandırmak için öncelikle iki adet TLS anahtarları ve sertifikaları. Edge TOA modülü, bilgi iletimini güvence altına almak için TLS kullanır SAML IdP ile SAML el sıkışma sürecinin bir parçası olarak

TLS anahtarlarını ve sertifikalarını oluşturma

Aşağıdaki adımlar test ortamınız için uygun olabilecek kendinden imzalı sertifikalar oluşturur ancak genellikle üretim ortamı için CA tarafından imzalanmış sertifikalara ihtiyacınız vardır.

Doğrulama ve imzalama anahtarı ile kendinden imzalı sertifikayı oluşturmak için:

  1. sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
  2. cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
  3. sudo openssl genrsa -out privkey.pem 2048
  4. sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
  5. sudo chown apigee:apigee *.pem

SAML ile iletişim kurmak amacıyla anahtarı ve kendinden imzalı sertifikayı, parola olmadan oluşturmak için IDP:

  1. sudo mkdir -p /opt/apigee/customer/application/apigee-sso/saml/
  2. cd /opt/apigee/customer/application/apigee-sso/saml/
  3. Özel anahtarınızı bir parola ile oluşturun:
    sudo openssl genrsa -aes256 -out server.key 1024
    .
  4. Parolayı anahtardan kaldırın:
    sudo openssl rsa -in server.key -out server.key
  5. CA için sertifika imzalama isteği oluşturun:
    sudo openssl req -x509 -sha256 -new -key server.key -out server.csr
    .
  6. 365 günlük geçerlilik süresi olan kendinden imzalı sertifika oluşturun:
    sudo openssl x509 -sha256 -days 365 -in server.csr -signkey server.key -out selfsigned.crt
    .
  7. sudo chown apigee:apigee server.key
  8. sudo chown apigee:apigee selfsigned.crt

Uç TOA modülünde TLS'yi etkinleştirmek istiyorsanız SSO_TOMCAT_PROFILE'i SSL_TERMINATION olarak ayarlayın veya SSL_PROXY için kendinden imzalı bir sertifika kullanamazsınız. URL'nin tamamını bir sertifika alırsınız. Daha fazla bilgi için Apigee-sso'yu yapılandırma HTTPS erişimi hakkında daha fazla bilgi edinin.

HTTP için Edge TOA'yı yükleyin ve yapılandırın erişim

Edge TOA modülünü (apigee-sso) yüklemek için aynı işlemi kullanmanız gerekir bir bağlantı noktasıdır. apigee-sso, bir BGBG dosyasıyla temsil edildiğinden, Bu, yüklemeyi gerçekleştiren kullanıcının kök kullanıcı veya tam sudo'ya sahip bir kullanıcı olması gerektiği anlamına gelir. erişim. Daha fazla bilgi için Uç Yüklemeye Genel Bakış başlıklı makaleye bakın.

Yükleyiciye bir yapılandırma dosyası iletin. Yapılandırma dosyası aşağıdaki biçimdedir:

IP1=hostname_or_ip_of_management_server
IP2=hostname_or_ip_of_UI_and_apigge_sso

## Management Server configuration.
MSIP=$IP1
MGMT_PORT=8080
# Edge sys admin username and password as set when you installed Edge.
ADMIN_EMAIL=opdk@google.com
APIGEE_ADMINPW=Secret123
# Set the protocol for the Edge management API. Default is http. 
# Set to https if you enabled TLS on the management API.
MS_SCHEME=http

## Postgres configuration.
PG_HOST=$IP1
PG_PORT=5432
# Postgres username and password as set when you installed Edge.
PG_USER=apigee
PG_PWD=postgres

# apigee-sso configuration.
SSO_PROFILE="saml"
# Externally accessible IP or DNS name of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP2
# Default port is 9099. If changing, set both properties to the same value.
SSO_PUBLIC_URL_PORT=9099
SSO_TOMCAT_PORT=9099
# Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso.
SSO_TOMCAT_PROFILE=DEFAULT
SSO_PUBLIC_URL_SCHEME=http

# SSO admin user name. The default is ssoadmin.
SSO_ADMIN_NAME=ssoadmin
# SSO admin password using uppercase, lowercase, number, and special chars.
SSO_ADMIN_SECRET=Secret123

# Enable the ability to sign an authentication request with SAML SSO.
SSO_SAML_SIGN_REQUEST=y

# Path to signing key and secret from "Create the TLS keys and certificates" above.
SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem
SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem

# Name of SAML IDP. For example, okta or adfs.
SSO_SAML_IDP_NAME=okta
# Text displayed to user when they attempt to access Edge UI.
SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP"

# The metadata URL from your IDP.
# If you have a metadata file, and not a URL, 
# see "Specifying a metadata file instead of a URL" below.
SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata

# Specifies to skip TLS validation for the URL specified
# by SSO_SAML_IDP_METADATA_URL. Necessary if URL uses a self-signed cert. 
# Default value is "n".
SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n

# SAML service provider key and cert from "Create the TLS keys and certificates" above.
SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key
SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt
# The passphrase used when you created the SAML cert and key.
# The section "Create the TLS keys and certificates" above removes the passphrase,
# but this property is available if you require a passphrase.
# SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123

# Requires that SAML responses be signed by your IDP.
SSO_SAML_SIGNED_ASSERTIONS=y

# Must configure an SMTP server so Edge SSO can send emails to users.
SKIP_SMTP=n
SMTPHOST=smtp.example.com
SMTPUSER=smtp@example.com
# omit for no username
SMTPPASSWORD=smtppwd
# omit for no password
SMTPSSL=n
SMTPPORT=25
SMTPMAILFROM="My Company <myco@company.com>"

Edge TOA modülünü yüklemek için:

  1. Yönetim Sunucusu düğümüne giriş yapın. Bu düğümde halihazırda apigee-service, açıklandığı şekilde yüklendi Edge Apigee-setup yardımcı programını yükleyin.

    Edge TOA'yı farklı bir düğüme yükleyebileceğinizi unutmayın. Ancak bu düğümün Yönetim Sunucusu'na 8080 numaralı bağlantı noktası üzerinden erişin.

  2. apigee-sso uygulamasını yükleyin ve yapılandırın:
    /opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile

    Burada configFile, yukarıda gösterilen yapılandırma dosyasıdır.

  3. Aşağıdaki işlemlerde alışkın olduğunuz apigee-ssoadminapi.sh yardımcı programını yükleyin: apigee-sso modülü için yönetici ve makine kullanıcılarını yönetin:
    /opt/apigee/apigee-service/bin/apigee-service apigee-ssoadminapi install
  4. Kabuktan çıkış yapın ve apigee-ssoadminapi.sh eklemek için tekrar giriş yapın yardımcı olur.

URL yerine meta veri dosyası belirtme

IDP'niz HTTP/HTTPS meta veri URL'sini desteklemiyorsa aşağıdakileri yapmak için bir meta veri XML dosyası kullanabilirsiniz: Edge TOA'yı yapılandırın:

  1. Meta veri XML'sinin içeriğini IDP'nizden Edge TOA düğümündeki bir dosyaya kopyalayın. Örneğin, Örneğin, XML'yi şuraya kopyalayın:
    /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
    .
  2. Dosyanın sahipliğini Apigee:Apigee olarak değiştirin:
    chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
    .
  3. SSO_SAML_IDP_METADATA_URL değerini mutlak dosya yoluna ayarlayın:
    SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml

    Dosya yolunun önüne "file://" ifadesini ve ardından kök (/).