啟用 SAML 或 Edge on Edge 後,您就可以停用基本驗證。不過,在停用基本驗證之前:
- 請確認您已將所有 Edge 使用者 (包括系統管理員) 新增至 IDP。
- 確認您已在 Edge UI 和 Edge Management API 上全面測試您的 IDP 驗證。
- 如果您使用的是 Apigee Developer Services 入口網站 (或簡稱為入口網站),請在入口網站上設定及測試您的外部 IDP,確保入口網站能連線至 Edge。請參閱設定外部 IDP 的入口網站。
查看目前的安全性設定檔
您可以查看 Edge 安全性設定檔,確認目前的設定是否已啟用基本驗證和外部 IdP。請對 Edge Management Server 使用下列 Edge Management API 呼叫,查看 Edge 目前使用的安全性設定檔:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
如果您尚未設定外部 IdP,回應會如下所示,這表示基本驗證已啟用:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> </UserAccessControl> </SecurityProfile>
如果您已啟用外部 IdP,<ssoserver>
元素應會顯示在回應中:
<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>
請注意,已啟用外部 IDP 的版本也會顯示 <BasicAuthEnabled>true</BasicAuthEnabled>,這表示基本驗證仍處於啟用狀態。
停用基本驗證
請在 Edge Management Server 上使用下列 Edge Management API 呼叫來停用基本驗證。
如要停用基本驗證功能,您需要將上一節傳回的 XML 物件做為酬載傳遞。唯一的差別在於您將 <BasicAuthEnabled>
設為 false
,如以下範例所示:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>false</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
停用基本驗證功能後,凡是通過基本驗證的 Edge Management API 呼叫,都會傳回下列錯誤:
<Error> <Code>security.SecurityProfileBasicAuthDisabled</Code> <Message>Basic Authentication scheme not allowed</Message> <Contexts/> </Error>
重新啟用基本驗證
如果您必須重新啟用基本驗證,則必須執行下列步驟:
- 登入任何 Edge ZooKeeper 節點。
- 執行下列 bash 指令碼,關閉所有安全性功能:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
您會看到輸出內容格式為:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- 重新啟用基本驗證和外部 IDP 驗證:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
您現在可以再次使用基本驗證。請注意,啟用 New Edge 服務後,基本驗證功能就無法運作。