تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

ضبط الدخول المُوحَّد (SSO) في Apigee للدخول إلى HTTPS

يصف تثبيت خدمة Apigee للدخول الموحّد (SSO) وإعدادها كيفية تثبيت وحدة الدخول الموحّد Apigee وإعدادها لاستخدام HTTP على المنفذ 9099، على النحو المحدد في السمة التالية في ملف إعداد Edge:

SSO_TOMCAT_PROFILE=DEFAULT

ويمكنك بدلاً من ذلك ضبط SSO_TOMCAT_PROFILE على إحدى القيم التالية لتفعيل إمكانية الوصول إلى HTTPS:

SSL_PROXY: تضبط هذه السياسة apigee-sso، وهي وحدة الدخول الموحّد Apigee، في وضع الخادم الوكيل، ما يعني أنّك قد ثبّتّ جهاز موازنة الحمل أمام apigee-sso وتم إنهاء بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة التحميل. بعد ذلك، عليك تحديد المنفذ المستخدَم في apigee-sso للطلبات الواردة من جهاز موازنة الحمل.
SSL_TERMINATION: تم تفعيل إمكانية الوصول عبر بروتوكول أمان طبقة النقل (TLS) إلى apigee-sso في المنفذ الذي تختاره. يجب تحديد ملف تخزين مفاتيح في هذا الوضع يحتوي على شهادة موقَّعة من قِبل مرجع التصديق. لا يمكنك استخدام شهادة موقَّعة ذاتيًا.

يمكنك اختيار تفعيل بروتوكول HTTPS عند تثبيت apigee-sso وضبطه مبدئيًا، أو يمكنك تفعيله لاحقًا.

يؤدي تفعيل إمكانية الوصول عبر بروتوكول HTTPS إلى apigee-sso باستخدام أي من الوضعين إلى إيقاف وصول HTTP. وهذا يعني أنّه لا يمكنك الوصول إلى apigee-sso عند استخدام كلٍّ من HTTP وHTTPS في آنٍ واحد.

ملاحظة: في حال ضبط إمكانية الوصول عبر HTTPS إلى apigee-sso، احرص على تعديل أي عناوين URL تستخدمها واجهة مستخدم Edge وموفِّر الهوية لاستخدام HTTPS. بالإضافة إلى ذلك، إذا اخترت تفعيل HTTPS على منفذ بخلاف 9099، احرص على تعديل واجهة المستخدم وموفِّر الهوية لاستخدام رقم المنفذ الصحيح.

تمكين وضع SSL_PROXY

في وضع SSL_PROXY، يستخدم نظامك جهاز موازنة الحمل أمام وحدة الدخول الموحّد من Apigee وينهي بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة الحمل. في الشكل التالي، ينهي جهاز موازنة الحمل بروتوكول أمان طبقة النقل (TLS) على المنفذ 443، ثم يُعيد توجيه الطلبات إلى وحدة الدخول الموحّد Apigee على المنفذ 9099:

من خلال هذه الإعدادات، تثق في الاتصال من جهاز موازنة الحمل إلى وحدة الدخول المُوحَّد (SSO) من Apigee، لذلك لا حاجة إلى استخدام بروتوكول أمان طبقة النقل (TLS) لهذا الاتصال. ومع ذلك، يجب الآن على الكيانات الخارجية، مثل موفِّر الهوية (IdP)، الوصول إلى وحدة الدخول الموحّد Apigee على المنفذ 443، وليس على المنفذ 9099 غير المحمي.

يرجع سبب ضبط وحدة الدخول الموحّد لخدمة Apigee في وضع SSL_PROXY إلى أن وحدة Apigee للدخول الموحّد (SSO) تنشئ تلقائيًا عناوين URL لإعادة التوجيه يستخدمها موفِّر الهوية خارجيًا كجزء من عملية المصادقة. لذلك، يجب أن تحتوي عناوين URL لإعادة التوجيه هذه على رقم المنفذ الخارجي في جهاز موازنة التحميل، 443 في هذا المثال، وليس المنفذ الداخلي في وحدة ApigeeSSO، 9099.

ملاحظة: لن تحتاج إلى إنشاء شهادة ومفتاح لبروتوكول أمان طبقة النقل (TLS) في وضع SSL_PROXY لأنّ الاتصال من جهاز موازنة الحمل إلى وحدة الدخول الموحّد في Apigee يستخدم HTTP.

لضبط وحدة الدخول المُوحَّد (SSO) في Apigee لوضع SSL_PROXY:

أضِف الإعدادات التالية إلى ملف الإعداد:

# Enable SSL_PROXY mode.
SSO_TOMCAT_PROFILE=SSL_PROXY

# Specify the apigee-sso port, typically between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9099

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to auto-generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

اضبط وحدة الدخول المُوحَّد (SSO) لخدمة Apigee:

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

يُرجى تعديل إعدادات موفِّر الهوية لتقديم طلب HTTPS في المنفذ 443 من جهاز موازنة الحمل للوصول إلى الدخول المُوحَّد (SSO) لتطبيق Apigee. لمزيد من المعلومات، يُرجى الاطّلاع على أحد الخيارات التالية:
- ضبط موفِّر هوية (IdP) SAML
- ضبط موفِّر هوية LDAP
يمكنك تعديل إعدادات واجهة مستخدم Edge الخاصة باستخدام بروتوكول HTTPS من خلال ضبط السمات التالية في ملف الإعداد:
```
SSO_PUBLIC_URL_PORT=443
SSO_PUBLIC_URL_SCHEME=https
```
بعد ذلك، عليك تحديث واجهة مستخدم Edge:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-sso -f configFile
```
استخدام المكوِّن edge-ui في واجهة المستخدم الكلاسيكية
في حال تثبيت بوابة خدمات مطوّري برامج Apigee (أو البوابة ببساطة)، يمكنك تحديثها لاستخدام HTTPS للوصول إلى خدمة الدخول الموحّد في Apigee. لمزيد من المعلومات، يُرجى الاطّلاع على ضبط البوابة لاستخدام موفِّري الهوية الخارجيين.

يُرجى الاطّلاع على تفعيل موفِّر هوية خارجي على واجهة مستخدم Edge للحصول على مزيد من المعلومات.

تمكين وضع SSL_TERMINATION

في وضع "SSL_TERMINATION"، يجب:

أنشِئ شهادة ومفتاحًا لبروتوكول أمان طبقة النقل (TLS) واحفظهما في ملف تخزين. لا يمكنك استخدام شهادة موقَّعة ذاتيًا. يجب إنشاء شهادة من مرجع تصديق (CA).
تعديل إعدادات ضبط "apigee-sso."

لإنشاء ملف تخزين من الشهادة والمفتاح:

أنشئ دليلاً لملف JKS:

sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

التغيير إلى الدليل الجديد:

cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

أنشئ ملف JKS يحتوي على الشهادة والمفتاح. يجب تحديد ملف تخزين مفاتيح في هذا الوضع يحتوي على شهادة موقعة من مرجع تصديق. لا يمكنك استخدام شهادة موقعة ذاتيًا. ولمعرفة مثال عن إنشاء ملف JKS، يُرجى الاطّلاع على ضبط بروتوكول أمان طبقة النقل أو طبقة المقابس الآمنة في متصفّح Edge على الجهاز.

جعل ملف JKS مملوكًا لمستخدم "apigee":

sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

لضبط وحدة الدخول المُوحَّد (SSO) في Apigee:

أضِف الإعدادات التالية إلى ملف الإعداد:

# Enable SSL_TERMINATION mode.
SSO_TOMCAT_PROFILE=SSL_TERMINATION

# Specify the path to the keystore file.
SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks

SSO_TOMCAT_KEYSTORE_ALIAS=sso

# The password specified when you created the keystore.
SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

# Specify the HTTPS port number between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9443
SSO_PUBLIC_URL_PORT=9443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

اضبط وحدة الدخول المُوحَّد (SSO) لخدمة Apigee:

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

يُرجى تعديل إعدادات موفِّر الهوية لتقديم طلب HTTPS في المنفذ 9443 من جهاز موازنة الحمل للوصول إلى الدخول المُوحَّد (SSO) لتطبيق Apigee. تأكَّد من عدم استخدام أي خدمة أخرى لهذا المنفذ.
لمزيد من المعلومات، يُرجى الاطّلاع على ما يلي:
- ضبط موفِّر هوية (IdP) SAML
- ضبط موفِّر هوية LDAP
يمكنك تحديث إعدادات واجهة مستخدم Edge الخاصة ببروتوكول HTTPS من خلال ضبط السمات التالية:
```
SSO_PUBLIC_URL_PORT=9443
SSO_PUBLIC_URL_SCHEME=https
```
في حال تثبيت بوابة "خدمات المطوِّرين"، يُرجى تحديثها لاستخدام HTTPS للوصول إلى الدخول الموحَّد (SSO) إلى Apigee. لمزيد من المعلومات، يُرجى الاطّلاع على ضبط البوابة لاستخدام موفِّري الهوية الخارجيين.

تعيين تسجيل الدخول الموحّد (SSO_TOMCAT_PROXY_port) عند استخدام وضع "SSL_TERMINATION"

قد يكون لديك جهاز لموازنة التحميل أمام وحدة خدمة الدخول المُوحَّد (SSO) من Apigee، لأنّه ينهي بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة التحميل، ولكنه يتيح أيضًا استخدام بروتوكول أمان طبقة النقل (TLS) بين جهاز موازنة التحميل وخدمة الدخول المُوحَّد (SSO) من Apigee. في الشكل أعلاه بالنسبة إلى وضع SSL_PROXY، يعني هذا أنّ الاتصال من جهاز موازنة الحمل لتسجيل الدخول الموحَّد (SSO) في Apigee يستخدم بروتوكول أمان طبقة النقل (TLS).

في هذا السيناريو، يمكنك ضبط بروتوكول أمان طبقة النقل (TLS) على خدمة الدخول المُوحَّد (SSO) على Apigee تمامًا كما فعلت سابقًا في وضع SSL_TERMINATION. في المقابل، إذا كان جهاز موازنة حمولة البيانات يستخدم رقم منفذ TLS مختلفًا عن رقم منفذ Apigee الخاص بتسجيل الدخول إلى بروتوكول أمان طبقة النقل (TLS)، عليك أيضًا تحديد السمة SSO_TOMCAT_PROXY_PORT في ملف الإعداد. مثلاً:

ينهي جهاز موازنة الحمل بروتوكول أمان طبقة النقل (TLS) على المنفذ 443
يُنهي تسجيل الدخول الموحَّد (SSO) في Apigee بروتوكول أمان طبقة النقل (TLS) على المنفذ 9443.

تأكَّد من تضمين الإعداد التالي في ملف الإعداد:

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

تتيح لك هذه السياسة ضبط واجهة مستخدم موفِّر الهوية وواجهة مستخدم Edge لإجراء طلبات HTTPS على المنفذ 443.