Nachdem Sie SAML oder LDAP in Edge aktiviert haben, können Sie die Basisauthentifizierung deaktivieren. Bevor Sie jedoch die Basisauthentifizierung deaktivieren:
- Achten Sie darauf, dass Sie Ihrem IdP alle Edge-Nutzer, einschließlich Systemadministratoren, hinzugefügt haben.
- Prüfen Sie, ob Sie die IdP-Authentifizierung auf der Edge-Benutzeroberfläche und der Edge-Verwaltungs-API gründlich getestet haben.
- Wenn Sie das Apigee Developer Services-Portal (oder einfach das Portal) verwenden, konfigurieren und testen Sie Ihren externen IdP auf dem Portal, damit das Portal eine Verbindung zu Edge herstellen kann. Siehe Portal für externe IdPs konfigurieren.
Aktuelles Sicherheitsprofil ansehen
Sie können das Edge-Sicherheitsprofil aufrufen, um die aktuelle Konfiguration zu ermitteln und festzustellen, ob die Basisauthentifizierung und ein externer IdP derzeit aktiviert sind. Verwenden Sie den folgenden Edge-Management-API-Aufruf auf dem Edge Management Server, um das aktuelle Sicherheitsprofil aufzurufen, das von Edge verwendet wird:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Wenn Sie noch keinen externen IdP konfiguriert haben, sieht die Antwort wie folgt aus, was bedeutet, dass die Basisauthentifizierung aktiviert ist:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
Wenn Sie bereits einen externen IdP aktiviert haben, sollte das Element <ssoserver> in der Antwort angezeigt werden:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
Beachten Sie, dass für die Version mit aktiviertem externem IdP auch <BasicAuthEnabled>true</BasicAuthEnabled> angezeigt wird, was bedeutet, dass die Basisauthentifizierung immer noch aktiviert ist.
Basisauthentifizierung deaktivieren
Verwenden Sie den folgenden Edge Management API-Aufruf auf dem Edge Management Server, um die Basisauthentifizierung zu deaktivieren. Sie übergeben das im vorherigen Abschnitt zurückgegebene XML-Objekt als Nutzlast. Der einzige Unterschied besteht darin, dass Sie <BasicAuthEnabled> auf false festlegen, wie im folgenden Beispiel gezeigt:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
Nachdem Sie die Basisauthentifizierung deaktiviert haben, gibt jeder Edge-Management-API-Aufruf, der die Anmeldedaten für die Basisauthentifizierung übergibt, den folgenden Fehler zurück:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
Basisauthentifizierung wieder aktivieren
Wenn Sie die Basisauthentifizierung aus irgendeinem Grund wieder aktivieren müssen, müssen Sie die folgenden Schritte ausführen:
- Melden Sie sich bei einem beliebigen Edge-ZooKeeper-Knoten an.
- Führen Sie das folgende Bash-Skript aus, um alle Sicherheitsmaßnahmen zu deaktivieren:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Die Ausgabe sieht im folgenden Format aus:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Aktivieren Sie die Basisauthentifizierung und die externe IdP-Authentifizierung wieder:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Sie können jetzt die Basisauthentifizierung wieder verwenden. Die Basisauthentifizierung funktioniert nicht, wenn New Edge aktiviert ist.