Edge에서 기본 인증 사용 중지

Edge에서 SAML 또는 LDAP를 사용 설정한 후 기본 인증을 사용 중지할 수 있습니다. 하지만 기본 인증을 사용 중지하기 전에 다음 안내를 따르세요.

• 시스템 관리자를 포함한 모든 Edge 사용자를 IDP에 추가했는지 확인합니다.
• Edge UI 및 Edge 관리 API에서 IDP 인증을 철저히 테스트해야 합니다.
• Apigee Developer Services 포털 (또는 간단히 포털)을 사용하는 경우 포털에서 외부 IDP를 구성하고 테스트하여 포털이 Edge에 연결될 수 있는지 확인합니다. 외부 IDP용 포털 구성을 참조하세요.

현재 보안 프로필 보기

에지 보안 프로필을 보고 현재 구성을 확인하여 기본 인증 및 외부 IDP가 현재 사용 설정되어 있는지 확인할 수 있습니다. Edge에서 사용하는 현재 보안 프로필을 보려면 에지 관리 서버에서 다음 에지 관리 API 호출을 사용합니다.

curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

아직 외부 IDP를 구성하지 않은 경우 응답은 아래와 같습니다. 즉, 기본 인증이 사용 설정됩니다.

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

외부 IDP를 이미 사용 설정한 경우 <ssoserver> 요소가 응답에 표시됩니다.

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

외부 IDP가 사용 설정된 버전에서도 <BasicAuthEnabled>true</BasicAuthEnabled>가 표시됩니다. 즉, 기본 인증이 계속 사용 설정되어 있습니다.

기본 인증 사용 중지

에지 관리 서버에서 다음 에지 관리 API 호출을 사용하여 기본 인증을 사용 중지합니다.

기본 인증을 사용 중지하려면 이전 섹션에서 반환된 XML 객체를 페이로드로 전달합니다. 유일한 차이점은 다음 예와 같이 <BasicAuthEnabled>를 false로 설정한다는 것입니다.

curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

기본 인증을 사용 중지하면 기본 인증 사용자 인증 정보를 전달하는 Edge 관리 API 호출이 다음 오류를 반환합니다.

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

기본 인증 다시 사용 설정

어떤 이유로든 기본 인증을 다시 사용 설정해야 한다면 다음 단계를 수행해야 합니다.

1. Edge JoKeeper 노드에 로그인합니다.
2. 다음 bash 스크립트를 실행하여 모든 보안을 사용 중지합니다.

   #! /bin/bash
   /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
   set /system/securityprofile <SecurityProfile></SecurityProfile>
   quit
   EOF

   다음과 같은 형식으로 출력이 표시됩니다.

   Connecting to localhost:2181
   Welcome to ZooKeeper!
   JLine support is enabled
   WATCHER::
   WatchedEvent state:SyncConnected
   type:None path:null
   [zk: localhost:2181(CONNECTED) 0]
   set /system/securityprofile <SecurityProfile></SecurityProfile>
   cZxid = 0x89
   ...
   [zk: localhost:2181(CONNECTED) 1] quit
   Quitting...

3. 기본 인증 및 외부 IDP 인증을 다시 사용 설정합니다.

   curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile
     -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile">
     <UserAccessControl enabled="true">
     <SSOServer>
     <BasicAuthEnabled>true</BasicAuthEnabled>
     <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
     <ServerUrl>http://35.197.37.220:9099</ServerUrl>
     </SSOServer>
     </UserAccessControl>
     </SecurityProfile>'

이제 기본 인증을 다시 사용할 수 있습니다. New Edge 환경을 사용 설정하면 기본 인증이 작동하지 않습니다.