Disabilita autenticazione di base su Edge

Dopo aver attivato SAML o LDAP su Edge, puoi disattivare l'autenticazione di base. Tuttavia, prima di disattivare l'autenticazione di base:

• Assicurati di aver aggiunto tutti gli utenti Edge, inclusi gli amministratori di sistema, al tuo IDP.
• Assicurati di aver testato accuratamente l'autenticazione IdP su Edge UI ed Edge l'API di gestione.
• Se utilizzi il portale Apigee Developer Services (o semplicemente il portale), configura e testa il tuo IdP esterno sul portale per assicurarti che il portale possa connettersi a Edge. Consulta Configurazione del portale per IdP esterni.

Visualizza il profilo di sicurezza attuale

Puoi visualizzare il profilo di sicurezza Edge per determinare la configurazione attuale e stabilire se Attualmente sono abilitati l'autenticazione di base e un IdP esterno. Utilizza la seguente gestione periferica Chiamata API su Edge Management Server per visualizzare il profilo di sicurezza corrente utilizzato da Edge:

curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord

Se non hai ancora configurato un IdP esterno, la risposta è quella riportata di seguito, ovvero Di base l'autenticazione è abilitata:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
    </UserAccessControl>
</SecurityProfile>

Se hai già attivato un IdP esterno, l'elemento <ssoserver> deve compaiono nella risposta:

<SecurityProfile enabled="true" name="securityprofile">
    <UserAccessControl enabled="true">
        <SSOServer>
            <BasicAuthEnabled>true</BasicAuthEnabled>
            <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
            <ServerUrl>http://35.197.37.220:9099</ServerUrl>
        </SSOServer>
    </UserAccessControl>
</SecurityProfile>

Tieni presente che anche la versione con un IdP esterno abilitato mostra anche <BasicAuthEnabled>true</BasicAuthEnabled>, che indica che le versioni di base è ancora attiva.

Disabilita autenticazione di base

Usa la seguente chiamata all'API di gestione perimetrale su Edge Management Server per disabilitare la funzionalità di base autenticazione.

Per disabilitare l'autenticazione di base, passi come payload l'oggetto XML restituito nella sezione precedente. L'unico differenza è che hai impostato <BasicAuthEnabled> su false, come nell'esempio seguente:

curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile  -u sysAdminEmail:pWord -d
 '<SecurityProfile enabled="true" name="securityprofile">
  <UserAccessControl enabled="true">
    <SSOServer>
      <BasicAuthEnabled>false</BasicAuthEnabled>
      <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
      <ServerUrl>http://35.197.37.220:9099</ServerUrl>
  </SSOServer>
 </UserAccessControl>
</SecurityProfile>'

Dopo aver disabilitato l'autenticazione di base, qualsiasi chiamata all'API di gestione perimetrale che supera l'autenticazione di base credenziali di autenticazione restituisce il seguente errore:

<Error>
    <Code>security.SecurityProfileBasicAuthDisabled</Code>
    <Message>Basic Authentication scheme not allowed</Message>
    <Contexts/>
</Error>

Riattiva autenticazione di base

Se per qualsiasi motivo devi riattivare l'autenticazione di base, devi: passaggi:

1. Accedi a qualsiasi nodo Edge ZooKeeper.
2. Esegui il seguente script bash per disattivare tutte le misure di sicurezza:

   #! /bin/bash
   /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF
   set /system/securityprofile <SecurityProfile></SecurityProfile>
   quit
   EOF

   L'output verrà visualizzato nel seguente formato:

   Connecting to localhost:2181
   Welcome to ZooKeeper!
   JLine support is enabled
   WATCHER::
   WatchedEvent state:SyncConnected
   type:None path:null
   [zk: localhost:2181(CONNECTED) 0]
   set /system/securityprofile <SecurityProfile></SecurityProfile>
   cZxid = 0x89
   ...
   [zk: localhost:2181(CONNECTED) 1] quit
   Quitting...

3. Riattiva l'autenticazione di base e l'autenticazione IdP esterna:

   curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile
     -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile">
     <UserAccessControl enabled="true">
     <SSOServer>
     <BasicAuthEnabled>true</BasicAuthEnabled>
     <PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
     <ServerUrl>http://35.197.37.220:9099</ServerUrl>
     </SSOServer>
     </UserAccessControl>
     </SecurityProfile>'

Ora puoi utilizzare di nuovo l'autenticazione di base. Tieni presente che l'autenticazione di base non funziona quando è abilitata la nuova esperienza Edge.