Désactiver l'authentification de base sur Edge

Après avoir activé SAML ou LDAP sur Edge, vous pouvez désactiver l'authentification de base. Toutefois, avant de désactiver l'authentification de base:

• Assurez-vous d'avoir ajouté tous les utilisateurs Edge, y compris les administrateurs système, à votre IdP.
• Assurez-vous d'avoir testé minutieusement votre authentification IdP sur l'interface utilisateur Edge et l'API de gestion Edge.
• Si vous utilisez le portail de services pour les développeurs Apigee (ou simplement le portail), configurez et testez votre IdP externe sur le portail pour vous assurer qu'il peut se connecter à Edge. Consultez la page Configurer le portail pour les IdP externes.

Afficher le profil de sécurité actuel

Vous pouvez afficher le profil de sécurité Edge pour déterminer la configuration actuelle et déterminer si l'authentification de base et un IdP externe sont actuellement activés. Utilisez l'appel d'API de gestion Edge suivant sur le serveur de gestion Edge pour afficher le profil de sécurité actuellement utilisé par Edge:

curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Si vous n'avez pas encore configuré de fournisseur d'identité externe, la réponse est présentée ci-dessous, ce qui signifie que l'authentification de base est activée:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Si vous avez déjà activé un IdP externe, l'élément <ssoserver> doit apparaître dans la réponse:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

Notez que la version avec un IdP externe activé affiche également <BasicAuthEnabled>true</BasicAuthEnabled>, ce qui signifie que l'authentification de base est toujours activée.

Désactiver l'authentification de base

Utilisez l'appel d'API de gestion Edge suivant sur le serveur de gestion Edge pour désactiver l'authentification de base. Vous transmettez l'objet XML renvoyé dans la section précédente en tant que charge utile. La seule différence est que vous définissez <BasicAuthEnabled> sur false, comme le montre l'exemple suivant:

curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Une fois l'authentification de base désactivée, tout appel d'API de gestion Edge qui transmet les identifiants d'authentification de base renvoie l'erreur suivante:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Réactiver l'authentification de base

Si, pour une raison quelconque, vous devez réactiver l'authentification de base, procédez comme suit:

1. Connectez-vous à n'importe quel nœud Edge ZooKeeper.
2. Exécutez le script bash suivant pour désactiver toute la sécurité :

   #! /bin/bash
   /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
   set /system/securityprofile <SecurityProfile></SecurityProfile>
   quit
   EOF

   Le résultat se présente sous la forme suivante:

   Connecting to localhost:2181
   Welcome to ZooKeeper!
   JLine support is enabled
   WATCHER::
   WatchedEvent state:SyncConnected
   type:None path:null
   [zk: localhost:2181(CONNECTED) 0]
   set /system/securityprofile <SecurityProfile></SecurityProfile>
   cZxid = 0x89
   ...
   [zk: localhost:2181(CONNECTED) 1] quit
   Quitting...

3. Réactivez l'authentification de base et l'authentification du fournisseur d'identité externe :

   curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile
     -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile">
     <UserAccessControl enabled="true">
     <SSOServer>
     <BasicAuthEnabled>true</BasicAuthEnabled>
     <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
     <ServerUrl>http://35.197.37.220:9099</ServerUrl>
     </SSOServer>
     </UserAccessControl>
     </SecurityProfile>'

Vous pouvez de nouveau utiliser l'authentification de base. Notez que l'authentification de base ne fonctionne pas lorsque la nouvelle expérience Edge est activée.