Po włączeniu SAML lub LDAP w Edge możesz wyłączyć uwierzytelnianie podstawowe. Pamiętaj jednak: zanim wyłączysz uwierzytelnianie podstawowe:
- Upewnij się, że wszyscy użytkownicy Edge, w tym administratorzy systemu, zostali dodani do IDP.
- Sprawdź, czy uwierzytelnianie dostawcy tożsamości zostało dokładnie przetestowane w interfejsie Edge i Edge do zarządzania interfejsami API.
- Jeśli korzystasz z portalu usług dla programistów Apigee (lub po prostu portalu), skonfiguruj i przetestuj w nim zewnętrzny dostawca tożsamości. aby sprawdzić, czy portal może połączyć się z Edge. Zobacz Konfigurowanie portalu dla zewnętrznych dostawców tożsamości
Wyświetl bieżący profil zabezpieczeń
Możesz wyświetlić profil zabezpieczeń Edge, aby określić bieżącą konfigurację i określić, czy Podstawowe uwierzytelnianie i zewnętrzny dostawca tożsamości są obecnie włączone. Używaj tych funkcji zarządzania brzegiem Wywołanie interfejsu API na serwerze zarządzania brzegiem w celu wyświetlenia bieżącego profilu zabezpieczeń używanego przez Edge:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Jeśli nie masz jeszcze skonfigurowanego zewnętrznego dostawcy tożsamości, odpowiedź będzie wyglądać tak: poniżej, czyli Podstawowy Uwierzytelnianie jest włączone:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>Jeśli zewnętrzny dostawca tożsamości został już włączony, element <ssoserver> powinien
pojawią się w odpowiedzi:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>Zwróć uwagę, że wersja z włączonym zewnętrznym dostawcą tożsamości również wyświetla się <BasicAuthEnabled>true</BasicAuthEnabled>, co oznacza, że podstawowe Uwierzytelnianie jest nadal włączone.
Wyłącz uwierzytelnianie podstawowe
Aby wyłączyć podstawowe, użyj tego wywołania interfejsu Edge Management API na serwerze zarządzania brzegiem
uwierzytelnianie. Jako ładunek przekazujesz obiekt XML zwrócony w poprzedniej sekcji. Jedyna
różnica jest taka, że wartość <BasicAuthEnabled> jest ustawiona na false, jako
następujący przykład:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'Gdy wyłączysz uwierzytelnianie podstawowe, wszystkie wywołania interfejsu Edge Management API, które przejdą pozytywnie proces uwierzytelniania podstawowego dane logowania zwracają następujący błąd:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>Ponownie włącz uwierzytelnianie podstawowe
Jeśli z jakiegoś powodu musisz ponownie włączyć uwierzytelnianie podstawowe, musisz wykonać te czynności: kroki:
- Zaloguj się w dowolnym węźle Edge ZooKeeper.
- Aby wyłączyć całe zabezpieczenia, uruchom ten skrypt bash:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Dane wyjściowe zobaczysz w tym formacie:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Włącz ponownie uwierzytelnianie podstawowe i zewnętrzne uwierzytelnianie dostawcy tożsamości:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Możesz teraz ponownie używać uwierzytelniania podstawowego. Podstawowe uwierzytelnianie nie działa gdy włączona jest nowa wersja Edge.