本部分介绍如何使用 LDAP 或 SAML 等 IDP 从传统版界面迁移到 Edge 界面。
如需了解详情,请参阅以下主题:
谁可以执行迁移
如需迁移到 Edge 界面,您必须以最初安装 Edge 的用户或 root 用户身份登录。运行 Edge 界面的安装程序后,任何用户都可以对其进行配置。
准备工作
在从传统版界面迁移到 Edge 界面之前,请阅读以下常规准则:
- 备份现有的传统版界面节点
在更新之前,Apigee 建议您备份现有的传统版界面服务器。
- 端口/防火墙
默认情况下,传统版界面使用端口 9000。Edge 界面使用端口 3001。
- 新建虚拟机
不能将 Edge 界面安装在与传统版界面相同的虚拟机上。
如需安装 Edge 界面,您必须在配置中添加一台新机器。如果要使用与传统版界面相同的机器,则必须完全卸载传统版界面。
- 身份提供方(LDAP 或 SAML)
Edge 界面使用 SAML 或 LDAP IDP 对用户进行身份验证:
- LDAP:对于 LDAP,您可以使用外部 LDAP IDP,也可以使用随 Edge 安装的内部 OpenLDAP 实现。
- SAML:SAML IDP 必须是外部 IDP。
如需了解详情,请参阅安装和配置 IDP。
- 相同的 IDP
本部分假定您在迁移后将使用相同的 IDP。例如,如果您当前在传统版界面中使用外部 LDAP IDP,则将继续在 Edge 界面中使用外部 LDAP IDP。
使用内部 LDAP IDP 迁移
在使用内部 LDAP 实现 (OpenLDAP) 作为 IDP 的配置中,从传统版界面迁移到 Edge 界面时,请遵循以下准则:
- 间接绑定配置
按照这些说明安装 Edge 界面,并对静默配置文件进行以下更改:
配置 LDAP 以使用搜索和绑定(间接),如以下示例所示:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail - Management API 的基本身份验证
启用 Apigee SSO 后,默认情况下,所有 LDAP 用户的 API 基本身份验证将继续有效。您可以选择停用基本身份验证,如在 Edge 上停用基本身份验证中所述。
- 针对 Management API 的 OAuth2 身份验证
启用 SSO 时,系统会启用基于令牌的身份验证。
- 新建用户/密码流程
您必须使用 API 创建新用户,因为密码流程在 Edge 界面中将不再有效。
使用外部 LDAP IDP 迁移
在使用外部 LDAP 实现作为 IDP 的配置中,从传统版界面迁移到 Edge 界面时,请遵循以下准则:
- LDAP 配置
按照这些说明安装 Edge 界面。您可以在静默配置文件中配置直接或间接绑定。
- 管理服务器配置
启用 Apigee SSO 后,您应移除
/opt/apigee/customer/application/management-server.properties文件中定义的所有外部 LDAP 属性,并重启管理服务器。 - Management API 的基本身份验证
基本身份验证适用于计算机用户,但不适用于 LDAP 用户。如果您的 CI/CD 流程仍使用基本身份验证访问系统,这些验证将至关重要。
- 针对 Management API 的 OAuth2 身份验证
LDAP 用户只能使用令牌访问 Management API。
使用外部 SAML IDP 迁移
迁移到 Edge 界面时,SAML IDP 的安装说明没有变化。