Después de habilitar SAML o LDAP en Edge, puedes inhabilitar la autenticación básica. Sin embargo, antes de inhabilitar la autenticación básica, sucede lo siguiente:
- Asegúrate de haber agregado a todos los usuarios de Edge, incluidos los administradores del sistema, a tu IdP.
- Asegúrate de haber probado exhaustivamente la autenticación de IdP en la IU de Edge y la API de administración de Edge.
- Si usas el portal de servicios para desarrolladores de Apigee (o simplemente el portal), configura y prueba tu IdP externo en el portal para asegurarte de que se pueda conectar a Edge. Consulta Cómo configurar el portal para IdP externos.
Ver el perfil de seguridad actual
Puedes ver el perfil de seguridad de Edge para determinar la configuración actual y determinar si la autenticación básica y un IdP externo están habilitados en este momento. Usa la siguiente llamada a la API de Edge Management en Edge Management Server para ver el perfil de seguridad actual que usa Edge:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Si aún no configuraste un IdP externo, la respuesta es la siguiente, lo que significa que la autenticación básica está habilitada:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
Si ya habilitaste un IdP externo, el elemento <ssoserver> debería aparecer en la respuesta:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
Ten en cuenta que la versión con un IdP externo habilitado también muestra <BasicAuthEnabled>true</BasicAuthEnabled>, lo que significa que la autenticación básica sigue habilitada.
Inhabilitar la autenticación básica
Usa la siguiente llamada a la API de Edge Management en Edge Management Server para inhabilitar la autenticación básica.
Para inhabilitar la autenticación básica, debes pasar el objeto XML que se mostró en la sección anterior como carga útil. La única diferencia es que configuras <BasicAuthEnabled> como false, como se muestra en el siguiente ejemplo:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
Después de inhabilitar la autenticación básica, cualquier llamada a la API de Edge Management que pase las credenciales de autenticación básica mostrará el siguiente error:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
Volver a habilitar la autenticación básica
Si, por algún motivo, tienes que volver a habilitar la autenticación básica, debes seguir estos pasos:
- Accede a cualquier nodo de Edge ZooKeeper.
- Ejecuta la siguiente secuencia de comandos de Bash para desactivar toda la seguridad:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Verás un resultado con el siguiente formato:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Vuelve a habilitar la autenticación básica y la autenticación de IdP externo:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Ahora puedes volver a usar la autenticación básica. Ten en cuenta que la autenticación básica no funciona cuando se habilita la nueva experiencia de Edge.