ضبط الدخول المُوحَّد (SSO) في Apigee للدخول إلى HTTPS

يوضّح تثبيت الدخول المُوحَّد (SSO) في Apigee وضبطه الطريقة التي لتثبيت وحدة الدخول المُوحَّد (SSO) في Apigee وإعدادها لاستخدام HTTP على المنفذ 9099، على النحو المحدّد في الخاصية التالية في ملف إعداد Edge:

SSO_TOMCAT_PROFILE=DEFAULT

ويمكنك بدلاً من ذلك ضبط السمة SSO_TOMCAT_PROFILE على أحد الخيارات التالية: القيم لتمكين الدخول عبر HTTPS:

  • SSL_PROXY: تضبط apigee-sso، وحدة الدخول الموحّد في Apigee، في وضع الخادم الوكيل، أي أنك ثبّت جهاز موازنة الحمل أمام apigee-sso وأنهى بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة الحمل. ثم تحدد المنفذ المستخدم في apigee-sso للطلبات الواردة من جهاز موازنة الحمل.
  • SSL_TERMINATION: تم تفعيل دخول TLS إلى apigee-sso على من اختيارك. يجب تحديد ملف تخزين مفاتيح لهذا الوضع يتضمّن شهادة. موقَّعة من قِبل CA ولا يمكنك استخدام شهادة موقعة ذاتيًا.

يمكنك اختيار تفعيل بروتوكول HTTPS في وقت التثبيت والضبط لأول مرة. apigee-sso، أو يمكنك تفعيلها لاحقًا.

يؤدي تفعيل الوصول عبر HTTPS إلى apigee-sso باستخدام أي من الوضعين إلى إيقاف HTTP الوصول إليه. وهذا يعني أنّه لا يمكنك الوصول إلى apigee-sso باستخدام كلٍّ من HTTP وHTTPS. بالتزامن.

تمكين وضع SSL_PROXY

في وضع SSL_PROXY، سيوفّر النظام تستخدم أداة موازنة الحمل أمام وحدة الدخول الموحّد في Apigee وتنهي بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة التحميل. ضِمن الشكل التالي، يُنهي جهاز موازنة الحمل بروتوكول أمان طبقة النقل (TLS) على المنفذ 443، ثم يعيد توجيه الطلبات إلى وحدة الدخول المُوحَّد (SSO) في Apigee على المنفذ 9099:

في هذه الإعدادات، تثق في الاتصال من جهاز موازنة الحمل بوحدة الدخول المُوحَّد (SSO) في Apigee، لذلك ليست هناك حاجة لاستخدام بروتوكول أمان طبقة النقل (TLS) لإجراء هذا الاتصال. ومع ذلك، لا يمكن لجهات خارجية، مثل موفِّر الهوية (idP)، الوصول إلى وحدة الدخول الموحّد في Apigee عبر المنفذ 443، وليس على المنفذ 9099 غير المحمي.

يرجع سبب ضبط وحدة الدخول المُوحَّد (SSO) في Apigee في وضع SSL_PROXY إلى أنّ الدخول المُوحَّد (SSO) في Apigee تنشئ الوحدة تلقائيًا عناوين URL لإعادة التوجيه التي يستخدمها موفِّر الهوية (idP) خارجيًا كجزء من عملية المصادقة الدفع. لذلك، يجب أن تحتوي عناوين URL لإعادة التوجيه هذه على رقم المنفذ الخارجي عند التحميل موازِن، 443 في هذا المثال، وليس المنفذ الداخلي في وحدة الدخول الموحّد في Apigee، 9099.

لضبط وحدة الدخول المُوحَّد (SSO) في Apigee للوضع SSL_PROXY:

  1. أضِف الإعدادات التالية إلى ملف الإعداد:
    # Enable SSL_PROXY mode.
    SSO_TOMCAT_PROFILE=SSL_PROXY
    
    # Specify the apigee-sso port, typically between 1025 and 65535.
    # Typically ports 1024 and below require root access by apigee-sso.
    # The default is 9099.
    SSO_TOMCAT_PORT=9099
    
    # Specify the port number on the load balancer for terminating TLS.
    # This port number is necessary for apigee-sso to auto-generate redirect URLs.
    SSO_TOMCAT_PROXY_PORT=443
    SSO_PUBLIC_URL_PORT=443
    
    # Set public access scheme of apigee-sso to https.
    SSO_PUBLIC_URL_SCHEME=https
  2. اضبط وحدة الدخول المُوحَّد (SSO) في Apigee:
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
  3. تعديل إعدادات موفِّر الهوية لإنشاء طلب HTTPS على المنفذ 443 من التحميل جهاز موازِن الوصول إلى الدخول المُوحَّد (SSO) في Apigee. لمزيد من المعلومات، يُرجى الاطّلاع على أحد الخيارات التالية:
  4. عدِّل إعدادات واجهة مستخدم Edge الخاصة ببروتوكول HTTPS من خلال ضبط الخصائص التالية في ملف الإعداد:
    SSO_PUBLIC_URL_PORT=443
    SSO_PUBLIC_URL_SCHEME=https

    بعد ذلك، قم بتحديث واجهة مستخدم Edge:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-sso -f configFile

    يمكنك استخدام المكوِّن edge-ui لواجهة المستخدم الكلاسيكية.

  5. في حال تثبيت بوابة خدمات مطوّري البرامج في Apigee (أو البوابة)، يُرجى تعديلها لاستخدام HTTPS للوصول إلى الدخول المُوحَّد (SSO) في Apigee. بالنسبة مزيد من المعلومات، راجع إعداد البوابة لاستخدام موفِّري الهوية (idP) الخارجيين

راجع تفعيل موفِّر هوية (idP) خارجي على واجهة مستخدم Edge للتعرّف على مزيد من المعلومات.

تمكين وضع SSL_TERMINATION

لاستخدام وضع "SSL_TERMINATION"، يجب استيفاء الشروط التالية:

  • أنشئ شهادة ومفتاحًا لبروتوكول أمان طبقة النقل (TLS) واحتفظ بهما في ملف تخزين مفاتيح. لا يمكنك استخدام شهادة موقعة ذاتيًا. يجب إنشاء شهادة من مرجع تصديق.
  • تعديل إعدادات الضبط لـ "apigee-sso."

لإنشاء ملف تخزين مفاتيح من الشهادة والمفتاح:

  1. إنشاء دليل لملف JKS:
    sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  2. التغيير إلى الدليل الجديد:
    cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/
  3. أنشئ ملف JKS يحتوي على الشهادة والمفتاح. يجب تحديد ملف تخزين مفاتيح لهذا الوضع. تحتوي على شهادة موقعة من مرجع تصديق. لا يمكنك استخدام شهادة موقَّعة ذاتيًا. للحصول على مثال على لإنشاء ملف JKS، اطلع على تهيئة TLS/SSL Edge On Premises
  4. جعل ملف JKS مملوكًا من قِبل "apigee" المستخدم:
    sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

لضبط وحدة الدخول المُوحَّد (SSO) في Apigee، اتّبِع الخطوات التالية:

  1. أضِف الإعدادات التالية إلى ملف الإعداد:
    # Enable SSL_TERMINATION mode.
    SSO_TOMCAT_PROFILE=SSL_TERMINATION
    
    # Specify the path to the keystore file.
    SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks
    
    SSO_TOMCAT_KEYSTORE_ALIAS=sso
    
    # The password specified when you created the keystore.
    SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword
    
    # Specify the HTTPS port number between 1025 and 65535.
    # Typically ports 1024 and below require root access by apigee-sso.
    # The default is 9099.
    SSO_TOMCAT_PORT=9443
    SSO_PUBLIC_URL_PORT=9443
    
    # Set public access scheme of apigee-sso to https.
    SSO_PUBLIC_URL_SCHEME=https
  2. اضبط وحدة الدخول المُوحَّد (SSO) في Apigee:
    /opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile
  3. تعديل إعدادات موفِّر الهوية لإنشاء طلب HTTPS على المنفذ 9443 من التحميل جهاز موازِن الوصول إلى الدخول المُوحَّد (SSO) في Apigee. تأكَّد من عدم استخدام أي خدمة أخرى لهذا المنفذ.

    لمزيد من المعلومات، يُرجى الاطّلاع على ما يلي:

  4. تحديث ضبط واجهة مستخدم Edge لبروتوكول HTTPS من خلال ضبط الخصائص التالية:
    SSO_PUBLIC_URL_PORT=9443
    SSO_PUBLIC_URL_SCHEME=https
  5. في حال تثبيت بوابة خدمات المطوّرين، يُرجى تعديلها لاستخدام بروتوكول HTTPS من أجل الدخول إلى Apigee. لمزيد من المعلومات، راجع اضبط البوابة لاستخدام موفِّري الهوية (idP) الخارجيين.

تعيين الدخول الموحَّد (SSO_TOMCAT_PROXY_PORT) عند استخدام وضع SSL_TERMINATION

قد يتوفّر لديك جهاز موازنة حمولة أمام وحدة الدخول الموحّد في Apigee ينهي بروتوكول أمان طبقة النقل (TLS) عند التحميل. جهاز موازنة الحمل، بالإضافة إلى تفعيل بروتوكول أمان طبقة النقل (TLS) بين جهاز موازنة الحمل وخدمة الدخول المُوحَّد (SSO) في Apigee. في الشكل أعلاه، في وضع SSL_PROXY، يعني هذا أنّ الاتصال من جهاز موازنة الحمل بخدمة الدخول المُوحَّد (SSO) في Apigee بروتوكول أمان طبقة النقل (TLS).

في هذا السيناريو، يمكنك ضبط بروتوكول أمان طبقة النقل (TLS) في خدمة الدخول المُوحَّد (SSO) في Apigee كما فعلت سابقًا في وضع SSL_TERMINATION. ومع ذلك، إذا تم تحميل جهاز موازنة الحمل يستخدم رقم منفذ بروتوكول أمان طبقة النقل مختلفًا عن الرقم الذي يستخدمه الدخول الموحّد في Apigee لبروتوكول أمان طبقة النقل (TLS)، وعليك أيضًا تحديد السمة SSO_TOMCAT_PROXY_PORT في ملف الإعداد. على سبيل المثال:

  • ينهي جهاز موازنة الحمل بروتوكول أمان طبقة النقل (TLS) على المنفذ 443
  • يُنهي الدخول المُوحَّد (SSO) في Apigee بروتوكول أمان طبقة النقل (TLS) على المنفذ 9443

تأكَّد من تضمين الإعداد التالي في ملف الإعداد:

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

إعداد واجهة مستخدم موفِّر الهوية (idP) وEdge لإجراء طلبات HTTPS على المنفذ 443.