Nonaktifkan Autentikasi dasar di Edge

Setelah mengaktifkan SAML atau LDAP di Edge, Anda dapat menonaktifkan Autentikasi dasar. Namun, sebelum Anda menonaktifkan Autentikasi dasar:

  • Pastikan Anda telah menambahkan semua pengguna Edge, termasuk administrator sistem, ke IDP.
  • Pastikan Anda telah menguji autentikasi IDP secara menyeluruh di UI Edge dan Edge Google Cloud Management API.
  • Jika Anda menggunakan portal Layanan Developer Apigee (atau cukup portal), konfigurasikan dan uji IDP eksternal Anda di portal untuk memastikan bahwa portal dapat terhubung ke Edge. Lihat Mengonfigurasi portal untuk IDP eksternal.

Lihat profil keamanan saat ini

Anda dapat melihat profil keamanan Edge untuk menentukan konfigurasi saat ini guna menentukan apakah Autentikasi dasar dan IDP eksternal saat ini diaktifkan. Gunakan pengelolaan Edge berikut Panggilan API di Server Pengelolaan Edge untuk melihat profil keamanan saat ini yang digunakan oleh Edge:

curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Jika Anda belum mengonfigurasi IDP eksternal, responsnya adalah seperti yang ditunjukkan di bawah ini, artinya IDP autentikasi diaktifkan:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Jika Anda telah mengaktifkan IDP eksternal, elemen <ssoserver> seharusnya akan muncul dalam respons:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

Perhatikan bahwa versi dengan IDP eksternal aktif juga menunjukkan &lt;BasicAuthEnabled&gt;true&lt;/BasicAuthEnabled&gt;, yang berarti bahwa Dasar autentikasi masih diaktifkan.

Nonaktifkan Autentikasi dasar

Gunakan panggilan API pengelolaan Edge berikut di Server Pengelolaan Edge untuk menonaktifkan Mode Dasar autentikasi.

Untuk menonaktifkan autentikasi dasar, Anda meneruskan objek XML yang ditampilkan di bagian sebelumnya sebagai payload. Satu-satunya perbedaannya adalah Anda menetapkan <BasicAuthEnabled> ke false, karena contoh berikut menunjukkan:

curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Setelah Anda menonaktifkan Autentikasi dasar, setiap panggilan API pengelolaan Edge yang lulus pengujian Basic kredensial autentikasi akan menampilkan error berikut:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Mengaktifkan kembali autentikasi Dasar

Jika karena alasan apa pun Anda harus mengaktifkan kembali Autentikasi dasar, Anda harus melakukan tindakan berikut langkah:

  1. Login ke node Edge ZooKeeper mana pun.
  2. Jalankan skrip bash berikut untuk menonaktifkan semua keamanan:
    #! /bin/bash
    /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
    set /system/securityprofile <SecurityProfile></SecurityProfile>
    quit
    EOF

    Anda akan melihat output dalam bentuk:

    Connecting to localhost:2181
    Welcome to ZooKeeper!
    JLine support is enabled
    WATCHER::
    WatchedEvent state:SyncConnected
    type:None path:null
    [zk: localhost:2181(CONNECTED) 0]
    set /system/securityprofile <SecurityProfile></SecurityProfile>
    cZxid = 0x89
    ...
    [zk: localhost:2181(CONNECTED) 1] quit
    Quitting...
  3. Aktifkan kembali Autentikasi dasar dan autentikasi IDP eksternal:
    curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile
      -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile">
      <UserAccessControl enabled="true">
      <SSOServer>
      <BasicAuthEnabled>true</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
      </SSOServer>
      </UserAccessControl>
      </SecurityProfile>'

Sekarang Anda dapat kembali menggunakan Autentikasi dasar. Perhatikan bahwa Autentikasi dasar tidak berfungsi saat pengalaman New Edge diaktifkan.