W tej sekcji znajdziesz wskazówki dotyczące migracji z klasycznego interfejsu użytkownika do interfejsu Edge przy użyciu dostawcy tożsamości, takiego jak LDAP lub SAML.
Aby dowiedzieć się więcej, zobacz:
- Uwierzytelnianie dostawcy tożsamości w interfejsie Edge
- Uwierzytelnianie dostawcy tożsamości w klasycznym interfejsie
Kto może przeprowadzać migrację
Aby przejść na interfejs Edge, musisz zalogować się jako użytkownik, który pierwotnie zainstalował Edge lub jako root. Po uruchomieniu instalatora interfejsu użytkownika Edge może go skonfigurować każdy użytkownik.
Zanim zaczniesz
Zanim przeprowadzisz migrację z klasycznego interfejsu użytkownika do interfejsu Edge, zapoznaj się z tymi ogólnymi wskazówkami:
- Utwórz kopię zapasową istniejących węzłów klasycznego interfejsu użytkownika
Przed aktualizacją Apigee zaleca utworzenie kopii zapasowej dotychczasowego serwera z klasycznym interfejsem użytkownika.
- Porty/zapory sieciowe
Domyślnie klasyczny interfejs użytkownika używa portu 9000. Interfejs Edge używa portu 3001.
- Nowa maszyna wirtualna
Interfejsu Edge nie można zainstalować w tej samej maszynie wirtualnej co klasyczny interfejs użytkownika.
Aby zainstalować interfejs Edge, musisz dodać do konfiguracji nową maszynę. Jeśli chcesz używać tej samej maszyny co klasyczny interfejs, musisz całkowicie odinstalować klasyczny interfejs.
- Dostawca tożsamości (LDAP lub SAML)
Interfejs Edge uwierzytelnia użytkowników za pomocą dostawcy tożsamości SAML lub LDAP:
- LDAP: w przypadku LDAP możesz użyć zewnętrznego dostawcy tożsamości LDAP lub wewnętrznej implementacji OpenLDAP zainstalowanej w Edge.
- SAML:dostawca tożsamości SAML musi być zewnętrznym dostawcą tożsamości.
Więcej informacji znajdziesz w artykule na temat instalowania i konfigurowania dostawców tożsamości.
- Ten sam dostawca tożsamości
W tej sekcji zakładamy, że po migracji będziesz używać tego samego dostawcy tożsamości. Jeśli na przykład w klasycznym interfejsie użytkownika używasz zewnętrznego dostawcy tożsamości LDAP, w interfejsie Edge nadal będziesz używać zewnętrznego dostawcy tożsamości LDAP.
Migracja przy użyciu wewnętrznego dostawcy tożsamości LDAP
Podczas migracji z klasycznego interfejsu użytkownika do interfejsu Edge w konfiguracji, która używa wewnętrznej implementacji LDAP (OpenLDAP) jako dostawcy tożsamości:
- Konfiguracja powiązania pośredniego
Zainstaluj interfejs Edge zgodnie z tymi instrukcjami, pamiętając o wprowadzeniu zmian w pliku konfiguracji cichego pliku:
Skonfiguruj protokół LDAP tak, aby używał wyszukiwania i tworzenia powiązań (pośrednich), jak pokazano w poniższym przykładzie:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail
- Podstawowe uwierzytelnianie w interfejsie API zarządzania
Po włączeniu logowania jednokrotnego w Apigee podstawowe uwierzytelnianie interfejsów API nadal działa domyślnie dla wszystkich użytkowników LDAP. Możesz też wyłączyć uwierzytelnianie podstawowe, zgodnie z opisem w sekcji Wyłączanie uwierzytelniania podstawowego w Edge.
- Uwierzytelnianie OAuth2 na potrzeby interfejsu API zarządzania
Uwierzytelnianie oparte na tokenach jest włączane po włączeniu logowania jednokrotnego.
- Nowy proces tworzenia kont użytkowników i haseł
Musisz utworzyć nowych użytkowników z interfejsami API, ponieważ przepływy haseł nie będą już działać w interfejsie użytkownika Edge.
Migracja przy użyciu zewnętrznego dostawcy tożsamości LDAP
Podczas migracji z klasycznego interfejsu użytkownika do interfejsu Edge w konfiguracji, która korzysta z zewnętrznej implementacji LDAP jako dostawcy tożsamości, skorzystaj z tych wskazówek:
- Konfiguracja LDAP
Zainstaluj interfejs Edge, korzystając z tych instrukcji. W pliku konfiguracji dyskretnej możesz skonfigurować wiązanie bezpośrednie lub pośrednie.
- Konfiguracja serwera zarządzania
Po włączeniu logowania jednokrotnego w Apigee usuń wszystkie zewnętrzne właściwości LDAP zdefiniowane w pliku
/opt/apigee/customer/application/management-server.properties
i ponownie uruchom serwer zarządzania. - Podstawowe uwierzytelnianie w interfejsie API zarządzania
Uwierzytelnianie podstawowe działa w przypadku użytkowników komputerów, ale nie w przypadku użytkowników LDAP. Będą one krytyczne, jeśli proces CI/CD nadal będzie miał dostęp do systemu za pomocą uwierzytelniania podstawowego.
- Uwierzytelnianie OAuth2 na potrzeby interfejsu API zarządzania
Użytkownicy LDAP mogą uzyskać dostęp do interfejsu API zarządzania tylko za pomocą tokenów.
Migracja przy użyciu zewnętrznego dostawcy tożsamości SAML
Podczas migracji do interfejsu Edge nie wprowadzasz żadnych zmian w instrukcjach instalacji dostawcy tożsamości SAML.