En esta sección, se proporciona orientación para migrar de la IU clásica a la IU perimetral con un IdP, como LDAP o SAML.
Para obtener más información, consulta:
Quién puede realizar la migración
Para migrar a la IU de Edge, debes acceder como el usuario que instaló Edge o raíz como usuario raíz. Después de ejecutar el instalador para la IU de Edge, cualquier usuario puede configurarlo.
Antes de comenzar
Antes de migrar de la IU clásica a la IU de Edge, lee los siguientes lineamientos generales:
- Crea una copia de seguridad de los nodos de IU clásica existentes
Antes de realizar la actualización, Apigee recomienda crear una copia de seguridad de tu servidor de IU clásica existente.
- Puertos/firewalls
De forma predeterminada, la IU clásica usa el puerto 9000. La IU de Edge usa el puerto 3001.
- VM nueva
La IU de Edge no se puede instalar en la misma VM que la IU clásica.
Para instalar la IU de Edge, debes agregar una máquina nueva a tu configuración. Si deseas usar la misma máquina que la IU clásica, debes desinstalarla por completo.
- Proveedor de identidad (LDAP o SAML)
La IU de Edge autentica a los usuarios con un IdP de SAML o LDAP:
- LDAP: Para LDAP, puedes usar un IdP externo de LDAP o la implementación interna de OpenLDAP que se instaló con Edge.
- SAML: El IdP de SAML debe ser un IdP externo.
Para obtener más información, consulta Cómo instalar y configurar IdP.
- Mismo IdP
En esta sección, se supone que usarás el mismo IdP después de la migración. Por ejemplo, si actualmente usas un IdP de LDAP externo con la IU clásica, continuarás usando un IdP de LDAP externo con la IU de Edge.
Cómo migrar con un IdP interno de LDAP
Usa los siguientes lineamientos cuando migres de la IU clásica a la IU perimetral en una configuración que use la implementación interna de LDAP (OpenLDAP) como IdP:
- Configuración de la vinculación indirecta
Instala la IU de Edge según estas instrucciones y con el siguiente cambio en tu archivo de configuración silencioso:
Configura LDAP para usar la búsqueda y vinculación (indirecta), como se muestra en el siguiente ejemplo:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail - Autenticación básica para la API de Management
La autenticación básica de las APIs sigue funcionando de forma predeterminada para todos los usuarios de LDAP cuando el SSO de Apigee está habilitado. De manera opcional, puedes inhabilitar la autenticación básica, como se describe en Inhabilita la autenticación básica en Edge.
- Autenticación OAuth2 para la API de Management
La autenticación basada en tokens se habilita cuando habilitas el SSO.
- Flujo de usuario nuevo y contraseña
Debes crear usuarios nuevos con las APIs porque los flujos de contraseñas ya no funcionarán en la IU de Edge.
Cómo migrar con un IdP externo de LDAP
Usa los siguientes lineamientos cuando migres de la IU clásica a la IU de Edge en una configuración que use una implementación de LDAP externa como IdP:
- Configuración de LDAP
Instala la IU de Edge según estas instrucciones. Puedes configurar la vinculación directa o indirecta en el archivo de configuración silencioso.
- Configuración del servidor de administración
Después de habilitar el SSO de Apigee, debes quitar todas las propiedades externas de LDAP que se definen en el archivo
/opt/apigee/customer/application/management-server.propertiesy reiniciar el servidor de administración. - Autenticación básica para la API de Management
La autenticación básica funciona para los usuarios de máquinas, pero no para los usuarios de LDAP. Estos serán fundamentales si el proceso de CI/CD aún usa la autenticación básica para acceder al sistema.
- Autenticación OAuth2 para la API de Management
Los usuarios de LDAP pueden acceder a la API de administración solo con tokens.
Cómo migrar con un IdP externo de SAML
Cuando se migra a la IU de Edge, no hay cambios en las instrucciones de instalación para un IdP de SAML.