Sau khi bật SAML hoặc LDAP trên Edge, bạn có thể tắt tính năng Xác thực cơ bản. Tuy nhiên, trước khi bạn tắt tính năng Xác thực cơ bản:
- Hãy đảm bảo rằng bạn đã thêm tất cả người dùng Edge, bao gồm cả quản trị viên hệ thống, vào IDP của mình.
- Hãy nhớ kiểm tra kỹ lưỡng quy trình xác thực IDP trên Giao diện người dùng Edge và API Quản lý Edge.
- Nếu bạn đang sử dụng cổng Dịch vụ dành cho nhà phát triển Apigee (hay đơn giản là cổng), hãy định cấu hình và kiểm thử IDP bên ngoài của bạn trên cổng này để đảm bảo rằng cổng thông tin có thể kết nối với Edge. Xem phần Định cấu hình cổng thông tin cho các nhà cung cấp danh tính (IDP) bên ngoài.
Xem hồ sơ bảo mật hiện tại
Bạn có thể xem hồ sơ bảo mật của Edge để xác định cấu hình hiện tại nhằm xác định xem bạn hiện đã bật phương thức xác thực cơ bản và IDP bên ngoài hay chưa. Sử dụng lệnh gọi API quản lý Edge sau đây trên Máy chủ quản lý cạnh để xem hồ sơ bảo mật hiện tại mà Edge sử dụng:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Nếu bạn chưa định cấu hình IDP bên ngoài, thì phản hồi sẽ hiển thị như bên dưới, nghĩa là tính năng Xác thực cơ bản đang bật:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
Nếu bạn đã bật một IDP bên ngoài, thì phần tử <ssoserver> sẽ xuất hiện trong phản hồi:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
Xin lưu ý rằng phiên bản đã bật IDP bên ngoài cũng sẽ hiển thị <BasicAuthEnabled>true</BasicAuthEnabled>, có nghĩa là phương thức xác thực Cơ bản vẫn được bật.
Tắt tính năng Xác thực cơ bản
Sử dụng lệnh gọi API Quản lý Edge sau đây trên Máy chủ quản lý cạnh để tắt phương thức xác thực Cơ bản.
Để tắt quy trình xác thực cơ bản, bạn hãy truyền đối tượng XML được trả về trong phần trước dưới dạng gói dữ liệu (payload). Điểm khác biệt duy nhất là bạn đặt <BasicAuthEnabled> thành false, như trong ví dụ sau cho thấy:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
Sau khi bạn tắt tính năng Xác thực cơ bản, mọi lệnh gọi API quản lý Edge chuyển thông tin xác thực cơ bản đều sẽ trả về lỗi sau:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
Bật lại phương thức Xác thực cơ bản
Nếu phải bật lại tính năng Xác thực cơ bản vì bất kỳ lý do gì, bạn phải thực hiện các bước sau:
- Đăng nhập vào bất kỳ nút Edge ZooKeeper nào.
- Chạy tập lệnh bash sau để tắt toàn bộ tính năng bảo mật:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Bạn sẽ thấy kết quả dưới dạng:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Bật lại tính năng Xác thực cơ bản và xác thực IDP bên ngoài:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Bây giờ, bạn có thể sử dụng lại phương thức Xác thực cơ bản. Xin lưu ý rằng tính năng Xác thực cơ bản không hoạt động khi bạn bật trải nghiệm New Edge.