本部分介绍了如何使用 IDP,例如 LDAP 或 SAML。
如需了解详情,请参阅:
谁可以执行迁移
要迁移到 Edge 界面,您必须以最初安装此 API 的用户身份登录 Edge 或根用户。运行 Edge 界面的安装程序后,任何用户都可以配置 。
准备工作
在从传统版界面迁移到 Edge 界面之前,请先阅读以下一般准则:
- 备份现有的传统版界面节点
在更新之前,Apigee 建议您备份现有的传统界面服务器。
- 端口/防火墙
默认情况下,传统版界面使用端口 9000。Edge 界面使用端口 3001。
- 新建虚拟机
Edge 界面无法安装在与传统版界面相同的虚拟机上。
如需安装 Edge 界面,您必须在配置中添加新设备。如果您想 使用与传统版界面相同的机器,则必须完全卸载传统版界面。
- Identity Provider(LDAP 或 SAML)
Edge 界面使用 SAML 或 LDAP IDP 对用户进行身份验证:
- LDAP:对于 LDAP,您可以使用外部 LDAP IDP,也可以使用 随 Edge 一起安装的内部 OpenLDAP 实现。
- SAML:SAML IDP 必须是外部 IDP。
如需了解详情,请参阅安装和配置 IDP。
- 同一 IDP
本部分假定您在迁移后将使用相同的 IDP。例如,如果您 目前在传统版界面中使用外部 LDAP IdP,则您需继续使用 将外部 LDAP IDP 与 Edge 界面搭配使用。
使用内部 LDAP IDP 进行迁移
以 使用内部 LDAP 实现 (OpenLDAP) 作为 IDP 的配置:
- 间接绑定配置
使用以下扩展程序安装 Edge 界面: 说明,并对静默配置文件进行以下更改:
将 LDAP 配置为使用搜索和绑定(间接),如以下示例所示:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail - 针对 Management API 的基本身份验证
默认情况下,API 的基本身份验证仍然适用于所有 LDAP 用户, Apigee 单点登录已启用。您可以选择停用基本身份验证,如 停用 Edge 上的基本身份验证。
- 适用于 Management API 的 OAuth2 身份验证
启用 SSO 后,系统会启用基于令牌的身份验证。
- 新建用户/密码流程
您必须使用 API 创建新用户,因为密码流在 Edge 中将不再有效 界面。
使用外部 LDAP IDP 进行迁移
以 使用外部 LDAP 实现作为 IDP 的配置:
- LDAP 配置
使用以下扩展程序安装 Edge 界面: 操作说明。您可以在静默机制中配置直接或间接绑定 配置文件
- 管理服务器配置
启用 Apigee SSO 后,您应该移除所有 外部 LDAP 中定义的所有属性
/opt/apigee/customer/application/management-server.properties文件,然后重启 管理服务器。 - 针对 Management API 的基本身份验证
基本身份验证适用于计算机用户,但不适用于 LDAP 用户。如果存在这种情况, 您的 CI/CD 流程仍然使用基本身份验证来访问系统。
- 适用于 Management API 的 OAuth2 身份验证
LDAP 用户只能使用令牌访问 Management API。
使用外部 SAML IDP 迁移
迁移到 Edge 界面时,安装说明不会有任何变化 。