หลังจากเปิดใช้ SAML หรือ LDAP ใน Edge แล้ว คุณจะปิดใช้การตรวจสอบสิทธิ์ขั้นพื้นฐานได้ อย่างไรก็ตาม ก่อนปิดใช้การตรวจสอบสิทธิ์พื้นฐาน
- โปรดตรวจสอบว่าคุณได้เพิ่มผู้ใช้ Edge ทั้งหมด รวมถึงผู้ดูแลระบบไปยัง IDP
- ตรวจสอบว่าคุณได้ทดสอบการตรวจสอบสิทธิ์ IDP ใน Edge UI และ Edge อย่างถี่ถ้วนแล้ว API การจัดการ
- หากคุณใช้พอร์ทัล Apigee Developer Services (หรือเรียกง่ายๆ ว่าพอร์ทัล) ให้กำหนดค่าและทดสอบ IdP ภายนอกในพอร์ทัล เพื่อให้แน่ใจว่าพอร์ทัลจะเชื่อมต่อกับ Edge ได้ โปรดดู การกำหนดค่าพอร์ทัลสำหรับ IdP ภายนอก
ดูโปรไฟล์ความปลอดภัยปัจจุบัน
คุณดูโปรไฟล์ความปลอดภัยของ Edge ได้เพื่อระบุการกำหนดค่าปัจจุบันเพื่อระบุว่า มีการเปิดใช้การตรวจสอบสิทธิ์ขั้นพื้นฐานและ IDP ภายนอกอยู่ในขณะนี้ ใช้การจัดการ Edge ต่อไปนี้ การเรียก API ในเซิร์ฟเวอร์การจัดการ Edge เพื่อดูโปรไฟล์การรักษาความปลอดภัยปัจจุบันที่ Edge ใช้:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
หากคุณยังไม่ได้กำหนดค่า IdP ภายนอก การตอบกลับจะเป็นดังนี้แบบพื้นฐาน การตรวจสอบสิทธิ์ถูกเปิดใช้งาน:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>หากคุณเปิดใช้ IdP ภายนอกแล้ว องค์ประกอบ <ssoserver> ควร
ปรากฏในคำตอบ:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>โปรดสังเกตว่าเวอร์ชันที่มีการเปิดใช้ IDP ภายนอกจะแสดงไว้ด้วย <BasicAuthEnabled>true</BasicAuthEnabled> ซึ่งหมายความว่า Basic การตรวจสอบสิทธิ์ยังเปิดอยู่
ปิดใช้การตรวจสอบสิทธิ์พื้นฐาน
ใช้การเรียก Edge Management API ต่อไปนี้บนเซิร์ฟเวอร์การจัดการ Edge เพื่อปิดใช้บริการพื้นฐาน การตรวจสอบสิทธิ์
หากต้องการปิดใช้การตรวจสอบสิทธิ์พื้นฐาน คุณจะต้องส่งออบเจ็กต์ XML ที่แสดงผลในส่วนก่อนหน้าเป็นเพย์โหลด มีเพียง
ความแตกต่างคือคุณตั้งค่า <BasicAuthEnabled> เป็น false เนื่องจาก
ตัวอย่างต่อไปนี้จะแสดง
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'หลังจากปิดใช้การตรวจสอบสิทธิ์ขั้นพื้นฐานแล้ว การเรียก Edge Management API ใดก็ตามที่ผ่านระดับพื้นฐาน ข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์แสดงข้อผิดพลาดต่อไปนี้
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>เปิดใช้การตรวจสอบสิทธิ์พื้นฐานอีกครั้ง
ถ้าคุณต้องเปิดใช้การตรวจสอบสิทธิ์พื้นฐานอีกครั้งไม่ว่าจะด้วยเหตุผลใดก็ตาม คุณจะต้องดำเนินการดังต่อไปนี้ ขั้นตอน:
- เข้าสู่ระบบโหนด Edge ZooKeeper
- เรียกใช้สคริปต์ Bash ต่อไปนี้เพื่อปิดการรักษาความปลอดภัยทั้งหมด:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
คุณจะเห็นผลลัพธ์ในแบบฟอร์ม:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- เปิดใช้การตรวจสอบสิทธิ์ขั้นพื้นฐานและการตรวจสอบสิทธิ์ IDP ภายนอกอีกครั้งดังนี้
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
คุณจะใช้การตรวจสอบสิทธิ์พื้นฐานได้อีกครั้งแล้ว โปรดทราบว่าการตรวจสอบสิทธิ์พื้นฐานไม่ทำงาน เมื่อเปิดใช้ประสบการณ์ New Edge