In diesem Abschnitt finden Sie eine Anleitung für die Migration von der klassischen Benutzeroberfläche zur Edge-Benutzeroberfläche mit einem IdP wie LDAP oder SAML.
Weitere Informationen finden Sie unter:
Wer kann die Migration durchführen?
Für die Migration zur Edge-Benutzeroberfläche müssen Sie als der Nutzer angemeldet sein, der Edge ursprünglich installiert hat, oder als Root-Nutzer. Nachdem Sie das Installationsprogramm für die Edge-Benutzeroberfläche ausgeführt haben, kann es jeder Nutzer konfigurieren.
Hinweis
Lesen Sie vor der Migration von der klassischen Benutzeroberfläche zur Edge-Benutzeroberfläche die folgenden allgemeinen Richtlinien:
- Vorhandene Knoten der klassischen UI sichern
Vor dem Update empfiehlt Apigee, dass Sie den vorhandenen Server mit der klassischen UI sichern.
- Ports/Firewalls
Standardmäßig wird in der klassischen UI Port 9000 verwendet. Die Edge-Benutzeroberfläche verwendet Port 3001.
- Neue Mailboxnachricht
Die Edge-Benutzeroberfläche kann nicht auf derselben VM wie die klassische Benutzeroberfläche installiert werden.
Zum Installieren der Edge-Benutzeroberfläche müssen Sie Ihrer Konfiguration einen neuen Computer hinzufügen. Wenn Sie den gleichen Computer wie die klassische Benutzeroberfläche verwenden möchten, müssen Sie die klassische Benutzeroberfläche vollständig deinstallieren.
- Identitätsanbieter (LDAP oder SAML)
Die Edge-Benutzeroberfläche authentifiziert Nutzer entweder mit einem SAML- oder LDAP-IdP:
- LDAP: Bei LDAP können Sie entweder einen externen LDAP-IdP oder die interne OpenLDAP-Implementierung verwenden, die mit Edge installiert ist.
- SAML:Der SAML-IdP muss ein externer IdP sein.
Weitere Informationen finden Sie unter IdPs installieren und konfigurieren.
- Gleicher IdP
In diesem Abschnitt wird davon ausgegangen, dass Sie nach der Migration denselben Identitätsanbieter verwenden. Wenn Sie beispielsweise derzeit einen externen LDAP-IdP mit der klassischen Benutzeroberfläche verwenden, verwenden Sie weiterhin einen externen LDAP-IdP mit der Edge-Benutzeroberfläche.
Mit einem internen LDAP-IdP migrieren
Beachten Sie die folgenden Richtlinien, wenn Sie von der klassischen Benutzeroberfläche zur Edge-Benutzeroberfläche in einer Konfiguration migrieren, die die interne LDAP-Implementierung (OpenLDAP) als IdP verwendet:
- Konfiguration der indirekten Bindung
Installieren Sie die Edge-Benutzeroberfläche anhand dieser Anleitung und nehmen Sie die folgende Änderung an der Konfigurationsdatei für die unbeaufsichtigte Konfiguration vor:
Konfigurieren Sie LDAP für die Verwendung der Suche und Bindung (indirekt), wie im folgenden Beispiel gezeigt:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail
- Basisauthentifizierung für die Verwaltungs-API
Die Basisauthentifizierung für APIs funktioniert standardmäßig für alle LDAP-Nutzer, wenn Apigee SSO aktiviert ist. Sie können die Basisauthentifizierung optional deaktivieren, wie unter Basisauthentifizierung in Edge deaktivieren beschrieben.
- OAuth2-Authentifizierung für die Verwaltungs-API
Die tokenbasierte Authentifizierung wird aktiviert, wenn Sie die SSO aktivieren.
- Neuer Ablauf für Nutzer/Passwort
Sie müssen neue Nutzer mit APIs erstellen, da Passwortflüsse in der Edge-Benutzeroberfläche nicht mehr funktionieren.
Mit externem LDAP-IdP migrieren
Beachten Sie die folgenden Richtlinien, wenn Sie von der klassischen Benutzeroberfläche zur Edge-Benutzeroberfläche in einer Konfiguration migrieren, die eine externe LDAP-Implementierung als IdP verwendet:
- LDAP-Konfiguration
Installieren Sie die Edge-Benutzeroberfläche anhand dieser Anleitung. Sie können in der Konfigurationsdatei für die stille Konfiguration eine direkte oder indirekte Bindung konfigurieren.
- Verwaltungsserver-Konfiguration
Nachdem Sie die Apigee-SSO aktiviert haben, sollten Sie alle externen LDAP-Attribute entfernen, die in der Datei
/opt/apigee/customer/application/management-server.properties
definiert sind, und den Verwaltungsserver neu starten. - Basisauthentifizierung für die Verwaltungs-API
Die Basisauthentifizierung funktioniert für Computernutzer, nicht aber für LDAP-Nutzer. Diese sind kritisch, wenn der CI/CD-Prozess noch die Basisauthentifizierung für den Zugriff auf das System verwendet.
- OAuth2-Authentifizierung für die Verwaltungs-API
LDAP-Nutzer können nur mit Tokens auf die Management API zugreifen.
Mit externem SAML-IdP migrieren
Bei der Migration zur Edge-Benutzeroberfläche gibt es keine Änderungen an der Installationsanleitung für einen SAML-IdP.