Apigee TOA'yı yükleme ve yapılandırma bölümünde, Edge yapılandırma dosyasında aşağıdaki özellik tarafından belirtildiği gibi, Apigee TOA modülünün 9099 bağlantı noktasında HTTP kullanılması için nasıl yükleneceği ve yapılandırılacağı anlatılmaktadır:
SSO_TOMCAT_PROFILE=DEFAULT
Alternatif olarak, HTTPS erişimini etkinleştirmek için SSO_TOMCAT_PROFILE değerini aşağıdaki değerlerden birine ayarlayabilirsiniz:
- SSL_PROXY: Apigee TOA modülü olan
apigee-sso'yi proxy modunda yapılandırır. Bu,apigee-ssoöğesinin önüne bir yük dengeleyici yüklediğiniz ve yük dengeleyicide TLS'yi sonlandırdığınız anlamına gelir. Daha sonra yük dengeleyiciden gelen istekler içinapigee-ssoüzerinde kullanılan bağlantı noktasını belirtirsiniz. - SSL_TERMINATION: Seçtiğiniz bağlantı noktasında
apigee-ssohizmetine TLS erişimi etkinleştirildi. Bu mod için CA tarafından imzalanmış bir sertifika içeren bir anahtar deposu belirtmeniz gerekir. Kendinden imzalı bir sertifika kullanamazsınız.
HTTPS'yi ilk kez apigee-sso yükleyip yapılandırırken etkinleştirmeyi seçebilir veya daha sonra etkinleştirebilirsiniz.
Bu modlardan herhangi birini kullanarak apigee-sso öğesine HTTPS erişimini etkinleştirmek HTTP erişimini devre dışı bırakır. Yani aynı anda hem HTTP hem de HTTPS kullanarak apigee-sso ürününe erişemezsiniz.
SSL_PROXY modunu etkinleştir
SSL_PROXY modunda, sisteminiz Apigee TOA modülünün önünde bir yük dengeleyici kullanır ve yük dengeleyicideki TLS'yi sonlandırır. Aşağıdaki şekilde yük dengeleyici, TLS'yi 443 numaralı bağlantı noktasında sonlandırır ve ardından istekleri 9099 bağlantı noktası üzerinde Apigee TOA modülüne iletir:
Bu yapılandırmada yük dengeleyici ile Apigee TOA modülü arasındaki bağlantıya güvenirsiniz. Bu nedenle bu bağlantı için TLS kullanmaya gerek yoktur. Ancak IDP gibi harici varlıkların artık Apigee TOA modülüne korumasız 9099 bağlantı noktasında değil, 443 numaralı bağlantı noktasından erişmesi gerekiyor.
Apigee TOA modülünü SSL_PROXY modunda yapılandırmanın nedeni, Apigee TOA modülünün kimlik doğrulama işleminin bir parçası olarak IdP tarafından harici olarak kullanılan yönlendirme URL'lerini otomatik olarak oluşturmasıdır. Bu nedenle, bu yönlendirme URL'leri yük dengeleyicideki harici bağlantı noktası numarasını (bu örnekte 443) içermelidir ve Apigee TOA modülündeki 9099 dahili bağlantı noktasını içermemelidir.
SSL_PROXY modu için Apigee TOA modülünü yapılandırmak için:
- Yapılandırma dosyanıza aşağıdaki ayarları ekleyin:
# Enable SSL_PROXY mode. SSO_TOMCAT_PROFILE=SSL_PROXY # Specify the apigee-sso port, typically between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9099 # Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to auto-generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- Apigee TOA modülünü yapılandırın:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- Artık Apigee TOA'ya erişmek için IDP yapılandırmanızı, yük dengeleyicinin 443 numaralı bağlantı noktasında HTTPS isteği yapacak şekilde güncelleyin. Daha fazla bilgi için aşağıdaki makalelerden birine bakın:
- Yapılandırma dosyasında aşağıdaki özellikleri ayarlayarak HTTPS için Edge kullanıcı arayüzü yapılandırmanızı güncelleyin:
SSO_PUBLIC_URL_PORT=443 SSO_PUBLIC_URL_SCHEME=https
Ardından Edge kullanıcı arayüzünü güncelleyin:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-sso -f configFile
Klasik kullanıcı arayüzü için
edge-uibileşenini kullanın. - Apigee Developer Services portalını (veya kısaca portalı) yüklediyseniz Apigee TOA'ya erişmek için HTTPS'yi kullanacak şekilde güncelleyin. Daha fazla bilgi için Portalı harici IdP'ler kullanacak şekilde yapılandırma bölümüne bakın.
Daha fazla bilgi için Uç kullanıcı arayüzünde harici IdP'yi etkinleştirme bölümüne bakın.
SSL_TERMINATION modunu etkinleştir
SSL_TERMINATION modu için:
- Bir TLS sertifikası ve anahtarı oluşturup bunları bir anahtar deposu dosyasında depolayın. Kendinden imzalı sertifika kullanamazsınız. Bir CA'dan sertifika oluşturmanız gerekir.
apigee-sso.için yapılandırma ayarlarını güncelleyin
Sertifikanızdan ve anahtarınızdan anahtar deposu dosyası oluşturmak için:
- JKS dosyası için bir dizin oluşturun:
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- Yeni dizine geçin:
cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- Sertifikayı ve anahtarı içeren bir JKS dosyası oluşturun. Bu mod için CA tarafından imzalanmış bir sertifika içeren bir anahtar deposu belirtmeniz gerekir. Kendinden imzalı sertifika kullanamazsınız. JKS dosyası oluşturma örneği için Edge On Premises için TLS/SSL'yi yapılandırma bölümüne bakın.
- "Apigee" kullanıcısına ait JKS dosyasını oluşturun:
sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl
Apigee TOA modülünü yapılandırmak için:
- Yapılandırma dosyanıza aşağıdaki ayarları ekleyin:
# Enable SSL_TERMINATION mode. SSO_TOMCAT_PROFILE=SSL_TERMINATION # Specify the path to the keystore file. SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks SSO_TOMCAT_KEYSTORE_ALIAS=sso # The password specified when you created the keystore. SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword # Specify the HTTPS port number between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9443 SSO_PUBLIC_URL_PORT=9443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- Apigee TOA modülünü yapılandırın:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- Artık Apigee TOA'ya erişmek için IDP yapılandırmanızı, yük dengeleyicinin 9443 numaralı bağlantı noktasında HTTPS isteği oluşturacak şekilde güncelleyin. Başka hiçbir hizmetin bu bağlantı noktasını kullanmadığından emin olun.
Daha fazla bilgi için aşağıdaki konulara bakın:
- Aşağıdaki özellikleri ayarlayarak HTTPS için Edge kullanıcı arayüzü yapılandırmanızı güncelleyin:
SSO_PUBLIC_URL_PORT=9443 SSO_PUBLIC_URL_SCHEME=https
- Geliştirici Hizmetleri portalını yüklediyseniz Apigee TOA'ya erişmek için HTTPS'yi kullanacak şekilde güncelleyin. Daha fazla bilgi için Portalı harici IdP'ler kullanacak şekilde yapılandırma bölümüne bakın.
SSL_TERMINATION modunu kullanırken TOA_TOMCAT_PROXY_PORT değerini ayarlayın
Apigee TOA modülünde, yük dengeleyicide TLS'yi sonlandıran ancak aynı zamanda yük dengeleyici ile Apigee TOA arasında TLS'yi etkinleştiren bir yük dengeleyiciniz olabilir. Yukarıdaki şekilde SSL_PROXY modu için bu durum, yük dengeleyiciden Apigee TOA'ya giden bağlantıda TLS kullandığı anlamına gelir.
Bu senaryoda, TLS'yi Apigee TOA'da da yukarıda SSL_TERMINATION modu için yaptığınız gibi yapılandırırsınız. Ancak yük dengeleyici, Apigee TOA'nın TLS için kullandığından farklı bir TLS bağlantı noktası numarası kullanıyorsa yapılandırma dosyasında SSO_TOMCAT_PROXY_PORT özelliğini de belirtmeniz gerekir. Örneğin:
- Yük dengeleyici 443 numaralı bağlantı noktasında TLS'yi sonlandırır
- Apigee TOA, 9443 numaralı bağlantı noktasında TLS'yi sonlandırıyor
Yapılandırma dosyasına aşağıdaki ayarı eklediğinizden emin olun:
# Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443
IDP ve Edge kullanıcı arayüzünü 443 numaralı bağlantı noktasında HTTPS istekleri yapacak şekilde yapılandırın.