このセクションでは、LDAP や SAML などの IDP を使用して Classic UI から Edge UI に移行する方法について説明します。
詳しくは以下をご覧ください。
移行を実施できるユーザー
Edge UI に移行するには、最初に Edge をインストールしたユーザーまたは root ユーザーとしてログインする必要があります。Edge UI のインストーラを実行すると、すべてのユーザーが構成できます。
始める前に
Classic UI から Edge UI に移行する前に、次の一般的なガイドラインをお読みください。
- 既存の Classic UI ノードをバックアップする
更新前に、既存の Classic UI サーバーをバックアップすることをおすすめします。
- ポート/ファイアウォール
デフォルトでは、Classic UI はポート 9000 を使用します。Edge UI ではポート 3001 を使用します。
- 新しい VM
Edge UI を Classic UI と同じ VM にインストールすることはできません。
Edge UI をインストールするには、新しいマシンを構成に追加する必要があります。Classic UI と同じマシンを使用する場合は、Classic UI を完全にアンインストールする必要があります。
- ID プロバイダ(LDAP または SAML)
Edge UI は、SAML または LDAP の IDP を使用してユーザーを認証します。
- LDAP: LDAP の場合は、外部 LDAP IDP を使用するか、Edge とともにインストールされた内部 OpenLDAP の実装を使用できます。
- SAML: SAML IDP は外部 IDP である必要があります。
詳細については、IDP をインストールして構成するをご覧ください。
- 同じ IDP
このセクションでは、移行後に同じ IDP を使用することを前提としています。たとえば、現在 Classic UI で外部 LDAP IDP を使用している場合は、Edge UI でも引き続き外部 LDAP IDP を使用します。
内部 LDAP IDP を使用して移行する
内部 LDAP 実装(OpenLDAP)を IDP として使用する構成で Classic UI から Edge UI に移行する場合は、次のガイドラインに従ってください。
- 間接バインディング構成
こちらの手順に沿って Edge UI をインストールします。ただし、サイレント構成ファイルに次の変更を加えます。
次の例のように、検索とバインド(間接的)を使用するように LDAP を構成します。
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail
- 管理 API の基本認証
Apigee SSO が有効になっている場合、API の基本認証はすべての LDAP ユーザーに対して引き続きデフォルトで機能します。必要に応じて、Edge で Basic 認証を無効にするの説明に従って Basic 認証を無効にできます。
- 管理 API の OAuth2 認証
SSO を有効にすると、トークンベースの認証が有効になります。
- 新しいユーザー/パスワードのフロー
Edge UI ではパスワード フローが機能しなくなるため、API を使用して新しいユーザーを作成する必要があります。
外部 LDAP IDP を使用して移行する
外部 LDAP 実装を IDP として使用する構成で Classic UI から Edge UI に移行する場合は、次のガイドラインに従ってください。
- LDAP 構成
こちらの手順に沿って Edge UI をインストールします。サイレント構成ファイルでは、直接バインディングと間接バインディングのいずれかを設定できます。
- Management Server の構成
Apigee SSO を有効にした後、
/opt/apigee/customer/application/management-server.properties
ファイルで定義されているすべての外部 LDAP プロパティを削除して、Management Server を再起動する必要があります。 - 管理 API の基本認証
Basic 認証はマシンユーザーでは機能しますが、LDAP ユーザーには機能しません。CI/CD プロセスで引き続き Basic 認証を使用してシステムにアクセスする場合、これは重要です。
- 管理 API の OAuth2 認証
LDAP ユーザーはトークンのみで Management API にアクセスできます。
外部 SAML IDP を使用して移行する
Edge UI に移行しても、SAML IDP のインストール手順は変更されません。