Desativar a autenticação básica no Edge

Depois de ativar o SAML ou o LDAP no Edge, você poderá desativar a autenticação básica. No entanto, antes de desativar a autenticação básica:

  • Adicione todos os usuários do Edge, incluindo administradores de sistema, ao seu IDP:
  • Teste completamente a autenticação do IdP na interface e no Edge API de gerenciamento.
  • Se você estiver usando o portal Apigee Developer Services (ou simplesmente o portal), configure e teste seu IdP externo no portal. para garantir que o portal se conecte ao Edge. Consulte Como configurar o portal para IdPs externos.

Ver o perfil de segurança atual

É possível visualizar o perfil de segurança do Edge para determinar a configuração atual e saber se A autenticação básica e um IdP externo estão ativados no momento. Usar o seguinte gerenciamento de borda Chamada de API no Servidor de gerenciamento de borda para visualizar o perfil de segurança atual usado pelo Edge:

curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Se você ainda não configurou um IdP externo, a resposta é a mostrada abaixo, que significa Básico está ativada:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Se você já tiver ativado um IdP externo, o elemento <ssoserver> precisará aparecem na resposta:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

A versão com um IdP externo ativado também mostra &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt;, o que significa que a API Basic a autenticação ainda esteja ativada.

Desativar a autenticação básica

Use a seguinte chamada da API de gerenciamento de borda no servidor de gerenciamento de borda para desativar a edição Basic autenticação.

Para desativar a autenticação básica, você transmite o objeto XML retornado na seção anterior como a carga. O único a diferença é que você define <BasicAuthEnabled> como false, já que o exemplo a seguir mostra:

curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Depois que você desativar a autenticação básica, qualquer chamada da API de gerenciamento de borda que passe na as credenciais de autenticação retornam o seguinte erro:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Reativar a autenticação básica

Se, por algum motivo, você tiver que reativar a autenticação básica, faça o seguinte: etapas:

  1. Faça login em qualquer nó do Edge ZooKeeper.
  2. Execute este script bash para desativar toda a segurança:
    #! /bin/bash
    /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
    set /system/securityprofile <SecurityProfile></SecurityProfile>
    quit
    EOF

    Você verá a saída no formulário:

    Connecting to localhost:2181
    Welcome to ZooKeeper!
    JLine support is enabled
    WATCHER::
    WatchedEvent state:SyncConnected
    type:None path:null
    [zk: localhost:2181(CONNECTED) 0]
    set /system/securityprofile <SecurityProfile></SecurityProfile>
    cZxid = 0x89
    ...
    [zk: localhost:2181(CONNECTED) 1] quit
    Quitting...
  3. Reative a autenticação básica e a autenticação do IdP externo:
    curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile
      -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile">
      <UserAccessControl enabled="true">
      <SSOServer>
      <BasicAuthEnabled>true</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
      </SSOServer>
      </UserAccessControl>
      </SecurityProfile>'

Agora você pode usar a autenticação básica novamente. Observe que a autenticação básica não funciona quando a nova experiência do Edge estiver ativada.