Apigee SSO モジュールをインストールして外部 IDP で構成するには、次のことを行う必要があります。 次のとおりです。
- 鍵と証明書を作成する。
- 基本の Apigee SSO 構成を設定する: ベースファイルには、すべての SSO 構成に共通するプロパティを含める必要があります。
- IDP 固有の構成プロパティを追加する: 次のいずれかを使用します。 構成ファイル内の、IDP 固有の構成プロパティのブロック: <ph type="x-smartling-placeholder">
- Apigee SSO をインストールする: Apigee SSO モジュールをインストールし、 インストーラに渡します。
それぞれの手順は、次のセクションで説明します。
鍵と証明書を作成する
このセクションでは、自己署名証明書を作成する方法について説明します。これは、 使用するが、テスト環境では、認証局(CA)によって署名された証明書を できます。
検証用の署名に使用する鍵ペアを作成するには:
- sudo ユーザーとして、次の新しいディレクトリを作成します。
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/jwt-keys
- 新しいディレクトリに移動します。
cd /opt/apigee/customer/application/apigee-sso/jwt-keys/
- 次のコマンドを使用して秘密鍵を生成します。
sudo openssl genrsa -out privkey.pem 2048
- 次のコマンドを使用して、秘密鍵から公開鍵を生成します。
sudo openssl rsa -pubout -in privkey.pem -out pubkey.pem
- 出力 PEM ファイルの所有者を「apigee」に変更します。user:
sudo chown apigee:apigee *.pem
外部 IP アドレスと通信するために、パスフレーズなしで鍵と自己署名証明書を作成する IDP:
- sudo ユーザーとして、新しいディレクトリを作成します。
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/idp/
- 新しいディレクトリに移動します。
cd /opt/apigee/customer/application/apigee-sso/idp/
- パスフレーズ付きの秘密鍵を生成します。
sudo openssl genrsa -aes256 -out server.key 1024
- 鍵からパスフレーズを削除します。
sudo openssl rsa -in server.key -out server.key
- CA の証明書署名リクエストを生成します。
sudo openssl req -x509 -sha256 -new -key server.key -out server.csr
- 有効期限が 365 日の自己署名証明書を生成します。
sudo openssl x509 -sha256 -days 365 -in server.csr -signkey server.key -out selfsigned.crt
- 鍵と crt ファイルの所有者を「apigee」に変更します。オーナー:
sudo chown apigee:apigee server.key
sudo chown apigee:apigee selfsigned.crt
Apigee SSO モジュールで TLS を有効にするには、次の手順を実施します。
SSO_TOMCAT_PROFILE
を SSL_TERMINATION
に設定するか、
自己署名証明書は使用できません。SSL_PROXY
新しい P-MAX キャンペーンを
証明書を取得する必要があります。Apigee SSO を構成する
HTTPS アクセスをご覧ください。
Apigee SSO 構成の設定
Apigee SSO モジュールをインストールする前に、構成ファイルを定義する必要があります。これに合格します 構成ファイルをインストールします。
構成ファイルの形式は次のとおりです。
IP1=hostname_or_IP_of_apigee_SSO IP2=hostname_or_IP_of_apigee_SSO ## Management Server configuration. # Management Server IP address and port MSIP=$IP1 MGMT_PORT=8080 # Edge sys admin username and password as set when you installed Edge. ADMIN_EMAIL=opdk@google.com APIGEE_ADMINPW=Secret123 # Set the protocol for the Edge management API. Default is http. # Set to https if you enabled TLS on the management API. MS_SCHEME=http ## Postgres configuration. # Postgres IP address and port PG_HOST=$IP1 PG_PORT=5432 # Postgres username and password as set when you installed Edge. # If these credentials change, they must be updated and setup rerun. PG_USER=apigee PG_PWD=postgres ## Apigee SSO module configuration. # Choose either "saml" or "ldap". SSO_PROFILE="[saml|ldap]" # Externally accessible IP or DNS name of apigee-sso. SSO_PUBLIC_URL_HOSTNAME=$IP2 SSO_PG_DB_NAME=database_name_for_sso # Default port is 9099. If changing, set both properties to the same value. SSO_PUBLIC_URL_PORT=9099 SSO_TOMCAT_PORT=9099 # Uncomment the following line to set specific SSL cipher using OpenSSL syntax # SSL_CIPHERS=HIGH:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!kRSA # Set Tomcat TLS mode to DEFAULT to use HTTP access to apigee-sso. SSO_TOMCAT_PROFILE=DEFAULT SSO_PUBLIC_URL_SCHEME=http # SSO admin user name. The default is ssoadmin. SSO_ADMIN_NAME=ssoadmin # SSO admin password using uppercase, lowercase, number, and special chars. SSO_ADMIN_SECRET=Secret123 # Enable the ability to sign an authentication request with SAML SSO. SSO_SAML_SIGN_REQUEST=y # Path to signing key and secret from Create the TLS keys and certificates above. SSO_JWT_SIGNING_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/privkey.pem SSO_JWT_VERIFICATION_KEY_FILEPATH=/opt/apigee/customer/application/apigee-sso/jwt-keys/pubkey.pem ########################################################### # Define External IDP # # Use one of the following configuration blocks to # # define your IDP settings: # # - SAML configuration properties # # - LDAP Direct Binding configuration properties # # - LDAP Indirect Binding configuration properties # ########################################################### INSERT_IDP_CONFIG_BLOCK_HERE (SAML, LDAP direct, or LDAP indirect, below) # Configure an SMTP server so that the Apigee SSO module can send emails to users SKIP_SMTP=n SMTPHOST=smtp.example.com SMTPUSER=smtp@example.com # omit for no username SMTPPASSWORD=smtppwd # omit for no password SMTPSSL=n SMTPPORT=25 # The address from which emails are sent SMTPMAILFROM="My Company <myco@company.com>"
SAML SSO 構成プロパティ
IDP に SAML を使用している場合は、IDP で次の構成プロパティのブロックを使用します。 構成ファイル(上記で定義):
## SAML Configuration Properties # Insert this section into your base configuration file, as described previously. # Name of SAML IDP. For example, okta or adfs. SSO_SAML_IDP_NAME=okta # Text displayed on the SSO sign-in page after being redirected by either the New or Classic Edge UI for SAML logins. # Note: Installing SSO does not depend on the Edge UI or which version of the UI you are using. SSO_SAML_IDP_LOGIN_TEXT="Please log in to your IDP" # The metadata URL from your IDP. # If you have a metadata file, and not a URL, # see "Specifying a metadata file instead of a URL" below. SSO_SAML_IDP_METADATA_URL=https://dev-343434.oktapreview.com/app/exkar20cl/sso/saml/metadata # Determines whether to skip TLS validation for the URL specified # by SSO_SAML_IDP_METADATA_URL. # This is necessary if the URL uses a self-signed certificate. # The default value is "n". SSO_SAML_IDPMETAURL_SKIPSSLVALIDATION=n # SAML service provider key and cert from Create the TLS keys and certificates above. SSO_SAML_SERVICE_PROVIDER_KEY=/opt/apigee/customer/application/apigee-sso/saml/server.key SSO_SAML_SERVICE_PROVIDER_CERTIFICATE=/opt/apigee/customer/application/apigee-sso/saml/selfsigned.crt # The passphrase used when you created the SAML cert and key. # The section "Create the TLS keys and certificates" above removes the passphrase, # but this property is available if you require a passphrase. # SSO_SAML_SERVICE_PROVIDER_PASSWORD=samlSP123 # Requires that SAML responses be signed by your IDP. # This property is enabled by default since release 4.50.00.05. SSO_SAML_SIGNED_ASSERTIONS=y
LDAP ダイレクト バインディングの構成プロパティ
IDP に LDAP 直接バインディングを使用する場合は、次の構成ブロックを使用します。 プロパティを定義します。
## LDAP Direct Binding configuration # Insert this section into your base configuration file, as described previously. # The type of LDAP profile; in this case, "direct" SSO_LDAP_PROFILE=direct # The base URL to which SSO connects; in the form: "ldap://hostname_or_IP:port SSO_LDAP_BASE_URL=LDAP_base_URL # Attribute name used by the LDAP server to refer to the user's email address; for example, "mail" SSO_LDAP_MAIL_ATTRIBUTE=LDAP_email_attribute # Pattern of the user's DN; for example: =cn={0},ou=people,dc=example,dc=org # If there is more than one pattern, separate with semicolons (";"); for example: # =cn={0},ou=people,dc=example,dc=org;=cn={0},ou=people,dc=example,dc=com SSO_LDAP_USER_DN_PATTERN=LDAP_DN_pattern # Set true to allow users to login with non-email usernames SSO_ALLOW_NON_EMAIL_USERNAME=false
LDAP 間接バインディングの構成プロパティ
IDP に LDAP 間接バインディングを使用する場合は、次の構成ブロックを使用します。 プロパティを次のように指定します。
## LDAP Indirect Binding configuration # Insert this section into your base configuration file, as described previously. # Type of LDAP profile; in this case, "indirect" SSO_LDAP_PROFILE=indirect # Base URL to which SSO connects; in the form: "ldap://hostname_or_IP:port SSO_LDAP_BASE_URL=LDAP_base_URL # DN and password of the LDAP server's admin user SSO_LDAP_ADMIN_USER_DN=LDAP_admin_DN SSO_LDAP_ADMIN_PWD=LDAP_admin_password # LDAP search base; for example, "dc=example,dc=org" SSO_LDAP_SEARCH_BASE=LDAP_search_base # LDAP search filter; for example, "cn={0}" SSO_LDAP_SEARCH_FILTER=LDAP_search_filter # Attribute name used by the LDAP server to refer to the user's email address; for example, "mail" SSO_LDAP_MAIL_ATTRIBUTE=LDAP_email_attribute
Apigee SSO モジュールをインストールする
鍵を作成して構成ファイルを設定したら、Apigee 構成ファイルを 学びました。
Apigee SSO モジュールをインストールするには:
- Management Server ノードにログインします。このノードには、すでにマシンが
apigee-service
がインストールされている(次を参照) Edge apigee-setup ユーティリティをインストールします。別のノードに Apigee SSO モジュールをインストールすることもできます。ただし、 そのノードは、ポート 8080 経由で Management Server にアクセスできる必要があります。
- 次のコマンドを実行して、
apigee-sso
をインストールして構成します。/opt/apigee/apigee-setup/bin/setup.sh -p sso -f configFile
ここで、configFile は上記で定義した構成ファイルです。
- 管理者とマシンの管理に使用する
apigee-ssoadminapi.sh
ユーティリティをインストールします。apigee-sso
モジュールのユーザーを呼び出せます。/opt/apigee/apigee-service/bin/apigee-service apigee-ssoadminapi install
- シェルからログアウトしてから再度ログインして、
apigee-ssoadminapi.sh
を追加します。 ユーティリティです。
URL の代わりにメタデータ ファイルを指定する
ご利用の IdP が HTTP/HTTPS メタデータ URL をサポートしていない場合は、メタデータ XML ファイルを使用して Apigee SSO を構成します。
URL の代わりにメタデータ ファイルを使用して Apigee SSO を構成するには:
- IDP のメタデータ XML の内容を Apigee SSO ノード上のファイルにコピーします。対象
XML を次の場所にコピーします。
/opt/apigee/customer/application/apigee-sso/saml/metadata.xml
- XML ファイルの所有権を「apigee」に変更します。user:
chown apigee:apigee /opt/apigee/customer/application/apigee-sso/saml/metadata.xml
SSO_SAML_IDP_METADATA_URL
の値を絶対ファイルパスに設定します。SSO_SAML_IDP_METADATA_URL=file:///opt/apigee/customer/application/apigee-sso/saml/metadata.xml
ファイルパスの先頭には「
file://
」を付け、その後に絶対パスを続ける必要があります (/)。