このページは Cloud Translation API によって翻訳されました。

HTTPS アクセス用に Apigee SSO を構成する

Apigee SSO のインストールと構成では、Apigee SSO モジュールをインストールして構成する際に、ポート 9099 で HTTP を使用するよう設定する方法について説明しています。その際、Edge 構成ファイルで次のプロパティを指定します。

SSO_TOMCAT_PROFILE=DEFAULT

または、SSO_TOMCAT_PROFILE を次のいずれかの値に設定して HTTPS アクセスを有効にします。

SSL_PROXY: Apigee SSO モジュールである apigee-sso をプロキシモードで構成します。つまり、apigee-sso の前にロードバランサをインストールし、ロードバランサの TLS を終端します。さらに、ロードバランサからのリクエスト用に apigee-sso で使用されるポートを指定します。
SSL_TERMINATION: 任意のポートで apigee-sso への TLS アクセスを有効にします。このモードでは、CA によって署名された証明書を含むキーストアを指定する必要があります。自己署名証明書は使用できません。

HTTPS は、最初に apigee-sso をインストールして構成するときに有効にできます。また、後で有効にすることもできます。

どちらのモードでも apigee-sso への HTTPS アクセスを有効にすると、HTTP アクセスが無効になります。つまり、HTTP と HTTPS を同時に使用して apigee-sso にアクセスすることはできません。

注: apigee-sso への HTTPS アクセスを構成する場合は、HTTPS を使用するように、Edge UI と IDP によって使用される URL をすべて更新してください。また、9099 以外のポートで HTTPS を有効にする場合は、必ず正しいポート番号を使用するように UI と IDP を更新してください。

SSL_PROXY モードを有効にする

SSL_PROXY モードでは、システムが Apigee SSO モジュールの前でロードバランサを使用し、ロードバランサで TLS を終端します。次の図では、ロードバランサが TLS をポート 443 で終端し、ポート 9099 で Apigee SSO モジュールにリクエストを転送しています。

この構成では、ロードバランサから Apigee SSO モジュールへの接続を信頼するため、この接続に TLS を使用する必要はありません。ただし、IDP などの外部エンティティは、保護されていないポート 9099 ではなく、ポート 443 で Apigee SSO モジュールにアクセスする必要があります。

Apigee SSO モジュールを SSL_PROXY モードで構成するのは、認証プロセスの一環として、IDP が外部で使用するリダイレクト URL を自動生成するためです。したがって、これらのリダイレクト URL には、Apigee SSO モジュールの内部ポート（9099）ではなく、ロードバランサの外部ポート番号（この例では 443）が含まれている必要があります。

注: ロードバランサから Apigee SSO モジュールへの接続は HTTP を使用するため、SSL_PROXY モードの TLS 証明書と鍵を作成する必要はありません。

Apigee SSO モジュールを SSL_PROXY モード用に構成するには:

構成ファイルに次の設定を追加します。

# Enable SSL_PROXY mode.
SSO_TOMCAT_PROFILE=SSL_PROXY

# Specify the apigee-sso port, typically between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9099

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to auto-generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

Apigee SSO モジュールを構成します。

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

IDP 構成を更新して、Apigee SSO にアクセスするためのロードバランサのポート 443 で HTTPS リクエストを行います。詳細については、次のいずれかをご覧ください。
- SAML IDP を構成する
- LDAP IDP を構成する
構成ファイルで次のプロパティを設定して、HTTPS 用に Edge UI 構成を更新します。
```
SSO_PUBLIC_URL_PORT=443
SSO_PUBLIC_URL_SCHEME=https
```
次に、Edge UI を更新します。
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-sso -f configFile
```
Classic UI の場合は edge-ui コンポーネントを使用します。
Apigee Developer Services ポータル（略して「ポータル」）がインストールされている場合は、HTTPS を使用して Apigee SSO にアクセスするようポータルを更新します。詳細については、外部 IDP を使用するようにポータルを構成するをご覧ください。

詳細については、Edge UI で外部 IDP を有効にするをご覧ください。

SSL_TERMINATION モードを有効にする

SSL_TERMINATION モードでは、次の操作を行う必要があります。

TLS 証明書と鍵を生成し、キーストアファイルに保存します。自己署名証明書は使用できません。CA から証明書を生成する必要があります。
apigee-sso. の設定を更新する

証明書と鍵からキーストアファイルを作成するには:

JKS ファイルのディレクトリを作成します。

sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

新しいディレクトリに移動します。

cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

証明書と鍵を含む JKS ファイルを作成します。このモードでは、CA によって署名された証明書を含むキーストアを指定する必要があります。自己署名証明書は使用できません。JKS ファイルの作成例については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。

JKS ファイルを「apigee」ユーザーが所有するようにします。

sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

Apigee SSO モジュールを構成するには:

構成ファイルに次の設定を追加します。

# Enable SSL_TERMINATION mode.
SSO_TOMCAT_PROFILE=SSL_TERMINATION

# Specify the path to the keystore file.
SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks

SSO_TOMCAT_KEYSTORE_ALIAS=sso

# The password specified when you created the keystore.
SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

# Specify the HTTPS port number between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9443
SSO_PUBLIC_URL_PORT=9443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

Apigee SSO モジュールを構成します。

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

IDP 構成を更新して、Apigee SSO にアクセスするためのロードバランサのポート 9443 で HTTPS リクエストを行います。他のサービスがこのポートを使用していないことを確認します。
詳しくは以下をご覧ください。
- SAML IDP を構成する
- LDAP IDP を構成する
次のプロパティを設定して、HTTPS 用に Edge UI 構成を更新します。
```
SSO_PUBLIC_URL_PORT=9443
SSO_PUBLIC_URL_SCHEME=https
```
Developer Services ポータルがインストールされている場合は、HTTPS を使用して Apigee SSO にアクセスするようにポータルを更新します。詳細については、外部 IDP を使用するようにポータルを構成するをご覧ください。

SSL_TERMINATION モードを使用する場合の SSO_TOMCAT_PROXY_PORT の設定

Apigee SSO モジュールの前にロードバランサを配置し、そのロードバランサで TLS を終端すると同時に、ロードバランサと Apigee SSO 間の TLS を有効にする場合があります。上図の SSL_PROXY モードでは、ロードバランサから Apigee SSO への接続に TLS が使用されています。

このシナリオでは、上記の SSL_TERMINATION モードと同様に、Apigee SSO で TLS を構成します。ただし、ロードバランサが、Apigee SSO が TLS に使用するものとは異なる TLS ポート番号を使用する場合は、構成ファイルで SSO_TOMCAT_PROXY_PORT プロパティも指定する必要があります。次に例を示します。

ロードバランサがポート 443 で TLS を終端する
Apigee SSO がポート 9443 で終端する TLS

構成ファイルに次の設定が含まれていることを確認してください。

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

ポート 443 で HTTPS リクエストを行うように IDP と Edge UI を構成する。