بعد از اینکه SAML یا LDAP را در Edge فعال کردید، می توانید احراز هویت اولیه را غیرفعال کنید. با این حال، قبل از اینکه احراز هویت اولیه را غیرفعال کنید :
- مطمئن شوید که همه کاربران Edge از جمله مدیران سیستم را به IDP خود اضافه کردهاید.
- اطمینان حاصل کنید که احراز هویت IDP خود را در رابط کاربری Edge و API مدیریت Edge به طور کامل آزمایش کرده اید.
- اگر از پورتال Apigee Developer Services (یا به سادگی، پورتال ) استفاده می کنید، IDP خارجی خود را در پورتال پیکربندی و آزمایش کنید تا مطمئن شوید که پورتال می تواند به Edge متصل شود. به پیکربندی پورتال برای IDPهای خارجی مراجعه کنید.
نمایه امنیتی فعلی را مشاهده کنید
میتوانید نمایه امنیتی Edge را برای تعیین پیکربندی فعلی مشاهده کنید تا مشخص کنید آیا احراز هویت اولیه و یک IDP خارجی در حال حاضر فعال هستند یا خیر. از فراخوانی API مدیریت Edge زیر در سرور مدیریت Edge برای مشاهده نمایه امنیتی فعلی استفاده شده توسط Edge استفاده کنید:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
اگر هنوز یک IDP خارجی پیکربندی نکردهاید، پاسخ مطابق شکل زیر است، به این معنی که احراز هویت اولیه فعال است:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
اگر قبلا یک IDP خارجی را فعال کرده اید، عنصر <ssoserver>
باید در پاسخ ظاهر شود:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
توجه داشته باشید که نسخه ای که یک IDP خارجی فعال است ، <BasicAuthEnabled>true</BasicAuthEnabled> را نیز نشان می دهد، به این معنی که احراز هویت اولیه همچنان فعال است.
غیرفعال کردن احراز هویت اولیه
از فراخوانی API مدیریت Edge زیر در سرور مدیریت Edge برای غیرفعال کردن احراز هویت اولیه استفاده کنید. شما شی XML را که در بخش قبل بازگردانده شده است به عنوان بار ارسال می کنید. تنها تفاوت این است که همانطور که مثال زیر نشان می دهد، <BasicAuthEnabled>
را روی false
قرار می دهید:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
پس از اینکه احراز هویت پایه را غیرفعال کردید، هر فراخوانی API مدیریت Edge که اعتبار احراز هویت اولیه را پاس میکند، خطای زیر را برمیگرداند:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
احراز هویت اولیه را دوباره فعال کنید
اگر به هر دلیلی مجبور شدید احراز هویت اولیه را دوباره فعال کنید، باید مراحل زیر را انجام دهید:
- به هر گره Edge ZooKeeper وارد شوید.
- اسکریپت bash زیر را برای خاموش کردن تمام امنیت اجرا کنید:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
خروجی را به شکل زیر مشاهده خواهید کرد:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- احراز هویت اولیه و احراز هویت خارجی IDP را دوباره فعال کنید:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
اکنون می توانید دوباره از احراز هویت اولیه استفاده کنید. توجه داشته باشید که وقتی تجربه New Edge فعال است، احراز هویت اولیه کار نمی کند.
،بعد از اینکه SAML یا LDAP را در Edge فعال کردید، می توانید احراز هویت اولیه را غیرفعال کنید. با این حال، قبل از اینکه احراز هویت اولیه را غیرفعال کنید :
- مطمئن شوید که همه کاربران Edge از جمله مدیران سیستم را به IDP خود اضافه کردهاید.
- اطمینان حاصل کنید که احراز هویت IDP خود را در رابط کاربری Edge و API مدیریت Edge به طور کامل آزمایش کرده اید.
- اگر از پورتال Apigee Developer Services (یا به سادگی، پورتال ) استفاده می کنید، IDP خارجی خود را در پورتال پیکربندی و آزمایش کنید تا مطمئن شوید که پورتال می تواند به Edge متصل شود. به پیکربندی پورتال برای IDPهای خارجی مراجعه کنید.
نمایه امنیتی فعلی را مشاهده کنید
میتوانید نمایه امنیتی Edge را برای تعیین پیکربندی فعلی مشاهده کنید تا مشخص کنید آیا احراز هویت اولیه و یک IDP خارجی در حال حاضر فعال هستند یا خیر. از فراخوانی API مدیریت Edge زیر در سرور مدیریت Edge برای مشاهده نمایه امنیتی فعلی استفاده شده توسط Edge استفاده کنید:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
اگر هنوز یک IDP خارجی پیکربندی نکردهاید، پاسخ مطابق شکل زیر است، به این معنی که احراز هویت اولیه فعال است:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
اگر قبلا یک IDP خارجی را فعال کرده اید، عنصر <ssoserver>
باید در پاسخ ظاهر شود:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
توجه داشته باشید که نسخه ای که یک IDP خارجی فعال است ، <BasicAuthEnabled>true</BasicAuthEnabled> را نیز نشان می دهد، به این معنی که احراز هویت اولیه همچنان فعال است.
غیرفعال کردن احراز هویت اولیه
از فراخوانی API مدیریت Edge زیر در سرور مدیریت Edge برای غیرفعال کردن احراز هویت اولیه استفاده کنید. شما شی XML را که در بخش قبل بازگردانده شده است به عنوان بار ارسال می کنید. تنها تفاوت این است که همانطور که مثال زیر نشان می دهد، <BasicAuthEnabled>
را روی false
قرار می دهید:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
پس از اینکه احراز هویت پایه را غیرفعال کردید، هر فراخوانی API مدیریت Edge که اعتبار احراز هویت اولیه را پاس میکند، خطای زیر را برمیگرداند:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
احراز هویت اولیه را دوباره فعال کنید
اگر به هر دلیلی مجبور شدید احراز هویت اولیه را دوباره فعال کنید، باید مراحل زیر را انجام دهید:
- به هر گره Edge ZooKeeper وارد شوید.
- اسکریپت bash زیر را برای خاموش کردن تمام امنیت اجرا کنید:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
خروجی را به شکل زیر مشاهده خواهید کرد:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- احراز هویت اولیه و احراز هویت خارجی IDP را دوباره فعال کنید:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
اکنون می توانید دوباره از احراز هویت اولیه استفاده کنید. توجه داشته باشید که وقتی تجربه New Edge فعال است، احراز هویت اولیه کار نمی کند.