本節提供使用 IDP (例如 LDAP 或 SAML) 從傳統版 UI 遷移至 Edge UI 的指南。
詳情請參閱:
誰可以執行遷移作業
如要遷移至 Edge UI,您必須以最初安裝 Edge 或根使用者身分登入。執行 Edge UI 的安裝程式後,任何使用者都可以設定。
事前準備
從傳統版 UI 遷移至 Edge UI 之前,請先詳閱下列一般指南:
- 備份現有的傳統版 UI 節點
在更新前,Apigee 建議您備份現有的傳統版 UI 伺服器。
- 通訊埠/防火牆
根據預設,傳統版 UI 會使用通訊埠 9000。Edge UI 使用通訊埠 3001。
- 新增 VM
含有傳統版 UI 的 VM 無法安裝 Edge UI。
如要安裝 Edge UI,您必須在設定中新增機器。如要使用與傳統版 UI 相同的機器,就必須完全解除安裝傳統版 UI。
- 識別資訊提供者 (LDAP 或 SAML)
Edge UI 會使用 SAML 或 LDAP IDP 驗證使用者:
- LDAP:如果是 LDAP,您可以使用外部 LDAP IDP,也可以使用透過 Edge 安裝的內部 OpenLDAP 實作。
- SAML:SAML IDP 必須為外部 IDP。
詳情請參閱「安裝及設定 IdP」。
- 相同的 IdP
本節假設您會在遷移後使用相同的 IDP。舉例來說,如果您目前透過傳統版 UI 使用外部 LDAP IDP,請繼續搭配使用外部 LDAP IDP 與 Edge UI。
使用內部 LDAP IDP 進行遷移
在使用「internal」LDAP 實作 (OpenLDAP) 實作 (OpenLDAP) 的設定中,從傳統版 UI 遷移至 Edge UI 時,請遵循下列規範:
- 間接繫結設定
按照這些操作說明安裝 Edge UI,並將其下列變更設為靜音設定檔:
將 LDAP 設定為使用搜尋和繫結 (間接),如以下範例所示:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail - Management API 基本驗證
根據預設,啟用 Apigee SSO 後,所有 LDAP 使用者仍可繼續使用 API 的基本驗證功能。您可以選擇停用基本驗證,詳情請參閱在 Edge 上停用基本驗證一文。
- Management API 的 OAuth2 驗證
啟用單一登入 (SSO) 時,即會啟用權杖式驗證功能。
- 新使用者/密碼流程
密碼流程不再適用於 Edge UI,因此您必須使用 API 建立新的使用者。
使用外部 LDAP IDP 進行遷移
在使用「external」LDAP 實作做為 IdP 的設定中,請採用下列規範從傳統版 UI 遷移至 Edge UI:
- LDAP 設定
請按照這些操作說明安裝 Edge UI。您可以在無訊息設定檔中設定直接或間接繫結。
- 管理伺服器設定
啟用 Apigee SSO 後,您應移除
/opt/apigee/customer/application/management-server.properties檔案中定義的所有外部 LDAP 屬性,並重新啟動管理伺服器。 - Management API 基本驗證
基本驗證功能適用於電腦使用者,但不適用於 LDAP 使用者。如果您的 CI/CD 程序仍使用基本驗證機制來存取系統,這些方法就非常重要。
- Management API 的 OAuth2 驗證
LDAP 使用者只能透過權杖存取 Management API。
使用外部 SAML IDP 進行遷移
遷移至 Edge UI 時,SAML IDP 的安裝操作說明沒有任何變更。