Phần này cung cấp hướng dẫn để di chuyển từ giao diện người dùng cũ sang giao diện người dùng Edge bằng IDP như LDAP hoặc SAML.
Để biết thêm thông tin, hãy xem các bài viết sau:
Ai có thể thực hiện quá trình di chuyển
Để di chuyển sang giao diện người dùng Edge, bạn phải đăng nhập với tư cách là người dùng cài đặt Edge ban đầu hoặc với tư cách là người dùng gốc. Sau khi bạn chạy trình cài đặt cho giao diện người dùng Edge, mọi người dùng đều có thể định cấu hình giao diện người dùng đó.
Trước khi bắt đầu
Trước khi chuyển từ giao diện người dùng cũ sang giao diện người dùng Edge, hãy đọc các nguyên tắc chung sau đây:
- Sao lưu các nút giao diện người dùng cũ hiện có
Trước khi cập nhật, Apigee khuyên bạn nên sao lưu máy chủ Giao diện người dùng cũ hiện có.
- Cổng/tường lửa
Theo mặc định, giao diện người dùng cổ điển sử dụng cổng 9000. Giao diện người dùng Edge sử dụng cổng 3001.
- Máy ảo mới
Bạn không thể cài đặt giao diện người dùng Edge trên cùng một máy ảo như giao diện người dùng phiên bản cũ.
Để cài đặt giao diện người dùng Edge, bạn phải thêm một máy mới vào cấu hình. Nếu muốn sử dụng cùng một máy với Giao diện người dùng cũ, bạn phải gỡ cài đặt hoàn toàn Giao diện người dùng cũ.
- Nhà cung cấp danh tính (LDAP hoặc SAML)
Giao diện người dùng Edge xác thực người dùng với IDP SAML hoặc LDAP:
- LDAP: Đối với LDAP, bạn có thể sử dụng IDP LDAP bên ngoài hoặc sử dụng cách triển khai OpenLDAP nội bộ đã cài đặt với Edge.
- SAML: IDP SAML phải là IDP bên ngoài.
Để biết thêm thông tin, hãy xem phần Cài đặt và định cấu hình nhà cung cấp danh tính (IDP).
- Cùng một nhà cung cấp danh tính (IDP)
Phần này giả định rằng bạn sẽ sử dụng cùng một nhà cung cấp danh tính (IDP) sau khi di chuyển. Ví dụ: nếu đang sử dụng một IDP LDAP bên ngoài với giao diện người dùng cũ, bạn sẽ tiếp tục sử dụng IDP LDAP bên ngoài với giao diện người dùng Edge.
Di chuyển bằng IDP LDAP nội bộ
Sử dụng các nguyên tắc sau khi di chuyển từ Giao diện người dùng cũ sang Giao diện người dùng Edge trong một cấu hình sử dụng cách triển khai LDAP nội bộ (OpenLDAP) làm IDP:
- Cấu hình liên kết gián tiếp
Cài đặt giao diện người dùng Edge theo các hướng dẫn này, với thay đổi sau đây đối với tệp cấu hình im lặng của bạn:
Định cấu hình LDAP để sử dụng tính năng tìm kiếm và liên kết (gián tiếp), như ví dụ sau đây:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail - Xác thực cơ bản cho API quản lý
Quy trình xác thực cơ bản cho API sẽ tiếp tục hoạt động theo mặc định đối với tất cả người dùng LDAP khi bạn bật tính năng Đăng nhập một lần (SSO) của Apigee. Bạn có thể tuỳ ý tắt tính năng Xác thực cơ bản, như mô tả trong phần Tắt phương thức xác thực cơ bản trên Edge.
- Xác thực OAuth2 cho API quản lý
Tính năng xác thực dựa trên mã thông báo được bật khi bạn bật tính năng SSO.
- Luồng người dùng/mật khẩu mới
Bạn phải tạo người dùng mới bằng API vì các luồng mật khẩu sẽ không còn hoạt động trong giao diện người dùng Edge.
Di chuyển bằng IDP LDAP bên ngoài
Hãy làm theo các nguyên tắc sau khi di chuyển từ giao diện người dùng cũ sang giao diện người dùng Edge trong một cấu hình sử dụng phương thức triển khai LDAP bên ngoài làm nhà cung cấp danh tính (IDP):
- Cấu hình LDAP
Cài đặt giao diện người dùng Edge theo các hướng dẫn này. Bạn có thể định cấu hình liên kết trực tiếp hoặc gián tiếp trong tệp cấu hình im lặng của mình.
- Cấu hình Máy chủ quản lý
Sau khi bật tính năng SSO của Apigee, bạn nên xoá tất cả các thuộc tính LDAP bên ngoài được xác định trong tệp
/opt/apigee/customer/application/management-server.propertiesrồi khởi động lại Máy chủ quản lý. - Xác thực cơ bản cho API quản lý
Quy trình xác thực cơ bản hoạt động cho người dùng máy nhưng không hoạt động cho người dùng LDAP. Những chỉ số này rất quan trọng nếu quy trình CI/CD của bạn vẫn sử dụng phương thức Xác thực cơ bản để truy cập vào hệ thống.
- Xác thực OAuth2 cho API quản lý
Người dùng LDAP chỉ có thể truy cập vào API quản lý bằng mã thông báo.
Di chuyển bằng IDP SAML bên ngoài
Khi di chuyển sang giao diện người dùng Edge, hướng dẫn cài đặt cho Nhà cung cấp danh tính (SAML) của SAML sẽ không thay đổi.