Apigee SSO のインストールと構成では、 次のプロパティを使用します。
SSO_TOMCAT_PROFILE=DEFAULT
または、SSO_TOMCAT_PROFILE
を次のいずれかに設定することもできます。
値を使用して HTTPS アクセスを有効にします。
- SSL_PROXY:
apigee-sso
(Apigee SSO モジュール)を構成します。 プロキシモード。つまり、apigee-sso
の前にロードバランサが設置されています。 ロードバランサで TLS を終端します。次に、サービスで使用するポートをapigee-sso
: ロードバランサからのリクエスト。 - SSL_TERMINATION: オンプレミス ネットワークに対する
apigee-sso
への TLS アクセスが有効 ポートを選択できますこのモードでは、証明書を含むキーストアを指定する必要があります CA によって署名されたものです。自己署名証明書は使用できません。
最初のインストールと構成時に HTTPS を有効にすることもできます。
apigee-sso
。後で有効にすることもできます。
いずれかのモードを使用して apigee-sso
への HTTPS アクセスを有効にすると、HTTP が無効になります
できます。つまり、HTTP と HTTPS の両方を使用して apigee-sso
にアクセスすることはできません。
できます。
SSL_PROXY モードを有効にする
SSL_PROXY
モードでは、システムは
Apigee SSO モジュールの前面でロードバランサを使用し、そのロードバランサで TLS を終端します。イン
次の図では、ロードバランサは TLS をポート 443 で終端し、リクエストを
Apigee SSO モジュールをポート 9099 で接続します。
この構成では、ロードバランサから Apigee SSO モジュールへの接続を信頼します。 そのため、その接続に TLS を使用する必要はありません。ただし、IDP などの外部エンティティは、 Apigee SSO モジュールには、保護されていないポート 9099 ではなく、ポート 443 でアクセスする必要があります。
Apigee SSO モジュールを SSL_PROXY
モードで構成する理由は、Apigee SSO が
モジュールは、認証プロセスの一環として IDP によって外部で使用されるリダイレクト URL を自動生成します。
プロセスですそのため、これらのリダイレクト URL には読み込み時の外部ポート番号を含める必要があります。
Apigee SSO モジュールの内部ポート(この例では 9099)ではありません。
Apigee SSO モジュールを SSL_PROXY
モードに構成するには:
- 構成ファイルに次の設定を追加します。
# Enable SSL_PROXY mode. SSO_TOMCAT_PROFILE=SSL_PROXY # Specify the apigee-sso port, typically between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9099 # Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to auto-generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- Apigee SSO モジュールを構成します。
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- IdP の構成を更新して、負荷のポート 443 で HTTPS リクエストを行うようにします。
アクセスできるようにする必要があります。詳細については、次のいずれかをご覧ください。
<ph type="x-smartling-placeholder">
- </ph>
- SAML IDP を構成する
- LDAP IDP を構成する
- 構成ファイルで次のプロパティを設定して、HTTPS 用に Edge UI 構成を更新します。
SSO_PUBLIC_URL_PORT=443 SSO_PUBLIC_URL_SCHEME=https
次に、Edge UI を更新します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-sso -f configFile
従来の UI には
edge-ui
コンポーネントを使用します。 - Apigee Developer Services ポータル(略して「ポータル」)をインストールした場合は、HTTPS を使用して Apigee SSO にアクセスするようにポータルを更新します。対象 詳細については、以下をご覧ください。 外部 IDP を使用するようにポータルを構成する
詳細については、Edge UI で外部 IDP を有効にするをご覧ください。 ご確認ください。
SSL_TERMINATION モードを有効にする
SSL_TERMINATION
モードの場合は、次のことを行う必要があります。
- TLS 証明書と鍵を生成し、キーストア ファイルに保存します。 自己署名証明書を使用できます。CA からの証明書を生成する必要があります。
apigee-sso.
の構成を更新する
証明書と鍵からキーストア ファイルを作成するには:
- JKS ファイル用のディレクトリを作成します。
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- 新しいディレクトリに移動します。
cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- 証明書と鍵を含む JKS ファイルを作成します。このモードではキーストアを指定する必要があります 証明書ファイルが作成されます自己署名証明書は使用できません。たとえば 作成方法については、Google Cloud で TLS/SSL の オンプレミスのエッジ。
- JKS ファイルの所有者を「apigee」にするユーザー:
sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl
Apigee SSO モジュールを構成するには:
- 構成ファイルに次の設定を追加します。
# Enable SSL_TERMINATION mode. SSO_TOMCAT_PROFILE=SSL_TERMINATION # Specify the path to the keystore file. SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks SSO_TOMCAT_KEYSTORE_ALIAS=sso # The password specified when you created the keystore. SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword # Specify the HTTPS port number between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9443 SSO_PUBLIC_URL_PORT=9443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- Apigee SSO モジュールを構成します。
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- IdP の構成を更新して、負荷のポート 9443 で HTTPS リクエストを行うようにします。
アクセスできるようにする必要があります。他のサービスがこのポートを使用していないことを確認してください。
詳しくは以下をご覧ください。
- 次のプロパティを設定して、HTTPS 用に Edge UI 構成を更新します。
SSO_PUBLIC_URL_PORT=9443 SSO_PUBLIC_URL_SCHEME=https
- Developer Services ポータルをインストール済みの場合は、HTTPS を使用するようにポータルを更新して、 Apigee SSO にアクセスできます。詳細については、次をご覧ください。 外部 IDP を使用するようにポータルを構成します。
SSL_TERMINATION モードを使用する場合に SSO_TOMCAT_PROXY_PORT を設定する
Apigee SSO モジュールの前にロードバランサを配置して、負荷時に TLS を終端させる
ロードバランサと Apigee SSO 間の TLS も有効にします。上の図では、
SSL_PROXY
モードの場合、ロードバランサから Apigee SSO への接続には、
TLS です。
このシナリオでは、上記の
SSL_TERMINATION
モード。ただし、
Apigee SSO が TLS に使用するものとは異なる TLS ポート番号を使用する場合は、
構成ファイルの SSO_TOMCAT_PROXY_PORT
プロパティ。例:
- ロードバランサは、TLS をポート 443 で終端します。
- Apigee SSO がポート 9443 で TLS を終端する
構成ファイルに次の設定が含まれていることを確認してください。
# Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443
ポート 443 で HTTPS リクエストを行うように IDP と Edge UI を構成します。