Nachdem Sie SAML oder LDAP in Edge aktiviert haben, können Sie die Basisauthentifizierung deaktivieren. Sie können jedoch bevor Sie die Basisauthentifizierung deaktivieren:
- Stellen Sie sicher, dass Sie alle Edge-Benutzer, einschließlich Systemadministratoren, zu Ihrem IDP:
- Achten Sie darauf, dass Sie Ihre IdP-Authentifizierung in der Edge-Benutzeroberfläche und in Edge gründlich getestet haben Management API
- Wenn Sie das Apigee Developer Services-Portal (oder einfach das Portal) verwenden, konfigurieren und testen Sie Ihren externen IdP auf dem Portal. um sicherzustellen, dass das Portal eine Verbindung zu Edge herstellen kann. Weitere Informationen finden Sie unter Portal für externe IdPs konfigurieren
Aktuelles Sicherheitsprofil ansehen
Sie können das Edge-Sicherheitsprofil aufrufen, um die aktuelle Konfiguration zu ermitteln und festzustellen, ob Die Basisauthentifizierung und ein externer IdP sind derzeit aktiviert. Verwenden Sie die folgende Edge-Verwaltung API-Aufruf auf dem Edge-Verwaltungsserver, um das aktuelle von Edge verwendete Sicherheitsprofil anzuzeigen:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Wenn Sie noch keinen externen IdP konfiguriert haben, lautet die Antwort wie unten dargestellt, was „Einfach“ bedeutet. Authentifizierung aktiviert ist:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
Wenn Sie bereits einen externen IdP aktiviert haben, sollte das <ssoserver>
-Element
in der Antwort erscheinen:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
Für die Version mit aktiviertem externen IdP wird auch <BasicAuthEnabled>true</BasicAuthEnabled>, was bedeutet, dass Basic die Authentifizierung immer noch aktiviert ist.
Basisauthentifizierung deaktivieren
Verwenden Sie den folgenden Edge-Verwaltungs-API-Aufruf auf dem Edge-Verwaltungsserver, um Basic zu deaktivieren
Authentifizierung. Sie übergeben das im vorherigen Abschnitt zurückgegebene XML-Objekt als Nutzlast. Die einzige
ist, dass Sie <BasicAuthEnabled>
auf false
setzen, da
Folgendes Beispiel zeigt:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Nachdem Sie die Basisauthentifizierung deaktiviert haben, kann jeder Edge-Verwaltungs-API-Aufruf, der die Basis-Authentifizierung übergibt, Bei Anmeldedaten für die Authentifizierung wird der folgende Fehler zurückgegeben:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
Basisauthentifizierung wieder aktivieren
Wenn Sie die Basisauthentifizierung aus irgendeinem Grund wieder aktivieren müssen, gehen Sie so vor: Schritte:
- Melden Sie sich bei einem beliebigen Edge ZooKeeper-Knoten an.
- Führen Sie das folgende Bash-Skript aus, um alle Sicherheitsfunktionen zu deaktivieren:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Die Ausgabe sieht so aus:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Aktivieren Sie die Basisauthentifizierung und die externe IdP-Authentifizierung wieder:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Sie können jetzt wieder die Basisauthentifizierung verwenden. Hinweis: Die Basisauthentifizierung funktioniert nicht. wenn New Edge aktiviert ist.