Installare e configurare Apigee SSO descrive come per installare e configurare il modulo SSO di Apigee in modo che utilizzi HTTP sulla porta 9099, come specificato seguente nel file di configurazione Edge:
SSO_TOMCAT_PROFILE=DEFAULT
In alternativa, puoi impostare SSO_TOMCAT_PROFILE
su una delle seguenti opzioni
per abilitare l'accesso HTTPS:
- SSL_PROXY: configura
apigee-sso
, il modulo SSO di Apigee, in modalità proxy, vale a dire che hai installato un bilanciatore del carico davanti aapigee-sso
e terminato il protocollo TLS sul bilanciatore del carico. quindi specifichi la porta utilizzataapigee-sso
per le richieste dal bilanciatore del carico. - SSL_TERMINATION: abilitato l'accesso TLS a
apigee-sso
sulla di rete che preferisci. Devi specificare un archivio chiavi per questa modalità che contenga un certificato è firmato da una CA. Non puoi utilizzare un certificato autofirmato.
Puoi scegliere di attivare HTTPS al momento dell'installazione e della configurazione iniziali
apigee-sso
. In alternativa, puoi abilitarla in un secondo momento.
Se attivi l'accesso HTTPS a apigee-sso
utilizzando una delle due modalità, il protocollo HTTP viene disabilitato
l'accesso. Ciò significa che non puoi accedere a apigee-sso
utilizzando sia HTTP che HTTPS
contemporaneamente.
Attiva modalità SSL_PROXY
In modalità SSL_PROXY
, il tuo impianto
utilizza un bilanciatore del carico davanti al modulo SSO di Apigee e termina TLS sul bilanciatore del carico. Nella
Nella figura seguente, il bilanciatore del carico termina TLS sulla porta 443 e quindi inoltra le richieste alla
il modulo SSO di Apigee sulla porta 9099:
In questa configurazione, consideri attendibile la connessione dal bilanciatore del carico al modulo SSO di Apigee, pertanto non è necessario utilizzare TLS per quella connessione. Tuttavia, le entità esterne, come l'IdP, ora deve accedere al modulo SSO di Apigee sulla porta 443, non sulla porta non protetta di 9099.
Il motivo per configurare il modulo SSO di Apigee in modalità SSL_PROXY
è che il servizio SSO di Apigee
genera automaticamente URL di reindirizzamento utilizzati esternamente dall’IdP come parte del processo di autenticazione
e il processo di sviluppo. Pertanto, questi URL di reindirizzamento devono contenere il numero di porta esterna sul carico
443 in questo esempio e non la porta interna sul modulo SSO di Apigee, 9099.
Per configurare il modulo SSO di Apigee per la modalità SSL_PROXY
:
- Aggiungi le seguenti impostazioni al file di configurazione:
# Enable SSL_PROXY mode. SSO_TOMCAT_PROFILE=SSL_PROXY # Specify the apigee-sso port, typically between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9099 # Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to auto-generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- Configura il modulo SSO di Apigee:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- Aggiorna la configurazione del tuo IdP per effettuare una richiesta HTTPS sulla porta 443 del carico di accesso al servizio SSO di Apigee. Per ulteriori informazioni, consulta una delle seguenti pagine:
- Aggiorna la configurazione della UI Edge per HTTPS impostando le seguenti proprietà nel file di configurazione:
SSO_PUBLIC_URL_PORT=443 SSO_PUBLIC_URL_SCHEME=https
Quindi, aggiorna la UI Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-sso -f configFile
Utilizza il componente
edge-ui
per l'interfaccia utente classica. - Se hai installato il portale Apigee Developer Services (o semplicemente il portale), aggiornalo in modo che utilizzi HTTPS per accedere ad Apigee SSO. Per ulteriori informazioni, vedi Configura il portale per l'utilizzo di IdP esterni
Vedi Abilitare un IdP esterno nell'interfaccia utente di Edge per ulteriori informazioni.
Attiva modalità SSL_TERMINATION
Per la modalità SSL_TERMINATION
, devi:
- Generare un certificato e una chiave TLS e archiviarli in un file di archivio chiavi. Non puoi utilizzare un certificato autofirmato. Devi generare un certificato da una CA.
- Aggiorna le impostazioni di configurazione per
apigee-sso.
Per creare un file di archivio chiavi dal certificato e dalla chiave:
- Crea una directory per il file JKS:
sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- Passa alla nuova directory:
cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
- Crea un file JKS contenente il certificato e la chiave. Devi specificare un archivio chiavi per questa modalità che contiene un certificato firmato da un'autorità di certificazione. Non puoi utilizzare un certificato autofirmato. Ad esempio, sulla creazione di un file JKS, consulta l'argomento Configurazione di TLS/SSL per Edge on-premise.
- Rendi il file JKS di proprietà di "apigee" utente:
sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl
Per configurare il modulo SSO di Apigee:
- Aggiungi le seguenti impostazioni al file di configurazione:
# Enable SSL_TERMINATION mode. SSO_TOMCAT_PROFILE=SSL_TERMINATION # Specify the path to the keystore file. SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks SSO_TOMCAT_KEYSTORE_ALIAS=sso # The password specified when you created the keystore. SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword # Specify the HTTPS port number between 1025 and 65535. # Typically ports 1024 and below require root access by apigee-sso. # The default is 9099. SSO_TOMCAT_PORT=9443 SSO_PUBLIC_URL_PORT=9443 # Set public access scheme of apigee-sso to https. SSO_PUBLIC_URL_SCHEME=https
- Configura il modulo SSO di Apigee:
/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
- Aggiorna la configurazione IdP per effettuare una richiesta HTTPS sulla porta 9443 del carico
di accesso al servizio SSO di Apigee. Assicurati che nessun altro servizio stia utilizzando questa porta.
Per ulteriori informazioni, consulta le seguenti risorse:
- Aggiorna la configurazione della UI Edge per HTTPS impostando le seguenti proprietà:
SSO_PUBLIC_URL_PORT=9443 SSO_PUBLIC_URL_SCHEME=https
- Se hai installato il portale Servizi per gli sviluppatori, aggiornalo in modo che utilizzi HTTPS per e accedere all'accesso SSO di Apigee. Per ulteriori informazioni, vedi Configura il portale per l'utilizzo di IdP esterni.
Imposta SSO_TOMCAT_PROXY_PORT quando si utilizza la modalità SSL_TERMINATION
Potresti avere un bilanciatore del carico davanti al modulo SSO di Apigee che termina TLS sul carico
ma abilita anche il protocollo TLS tra il bilanciatore del carico e l'accesso SSO di Apigee. Nella figura sopra
per la modalità SSL_PROXY
, significa che la connessione dal bilanciatore del carico ad Apigee SSO utilizza
TLS.
In questo scenario, configurerai TLS sul servizio SSO di Apigee proprio come hai fatto sopra per
Modalità SSL_TERMINATION
. Tuttavia, se il carico
il bilanciatore utilizza un numero di porta TLS diverso da quello utilizzato da Apigee SSO per TLS, devi specificare anche
la proprietà SSO_TOMCAT_PROXY_PORT
nel file di configurazione. Ad esempio:
- Il bilanciatore del carico termina TLS sulla porta 443
- Il servizio SSO di Apigee termina TLS sulla porta 9443
Assicurati di includere la seguente impostazione nel file di configurazione:
# Specify the port number on the load balancer for terminating TLS. # This port number is necessary for apigee-sso to generate redirect URLs. SSO_TOMCAT_PROXY_PORT=443 SSO_PUBLIC_URL_PORT=443
Configura l'IdP e la UI Edge per effettuare richieste HTTPS sulla porta 443.