Po włączeniu SAML lub LDAP w Edge możesz wyłączyć uwierzytelnianie podstawowe. Pamiętaj jednak: zanim wyłączysz uwierzytelnianie podstawowe:
- Upewnij się, że wszyscy użytkownicy Edge, w tym administratorzy systemu, zostali dodani do IDP.
- Sprawdź, czy uwierzytelnianie dostawcy tożsamości zostało dokładnie przetestowane w interfejsie Edge i Edge do zarządzania interfejsami API.
- Jeśli korzystasz z portalu usług dla programistów Apigee (lub po prostu portalu), skonfiguruj i przetestuj w nim zewnętrzny dostawca tożsamości. aby sprawdzić, czy portal może połączyć się z Edge. Zobacz Konfigurowanie portalu dla zewnętrznych dostawców tożsamości
Wyświetl bieżący profil zabezpieczeń
Możesz wyświetlić profil zabezpieczeń Edge, aby określić bieżącą konfigurację i określić, czy Podstawowe uwierzytelnianie i zewnętrzny dostawca tożsamości są obecnie włączone. Używaj tych funkcji zarządzania brzegiem Wywołanie interfejsu API na serwerze zarządzania brzegiem w celu wyświetlenia bieżącego profilu zabezpieczeń używanego przez Edge:
curl -H "accept:application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord
Jeśli nie masz jeszcze skonfigurowanego zewnętrznego dostawcy tożsamości, odpowiedź będzie wyglądać tak: poniżej, czyli Podstawowy Uwierzytelnianie jest włączone:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
</UserAccessControl>
</SecurityProfile>
Jeśli zewnętrzny dostawca tożsamości został już włączony, element <ssoserver> powinien
pojawią się w odpowiedzi:
<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>true</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>
Zwróć uwagę, że wersja z włączonym zewnętrznym dostawcą tożsamości również wyświetla się <BasicAuthEnabled>true</BasicAuthEnabled>, co oznacza, że podstawowe Uwierzytelnianie jest nadal włączone.
Wyłącz uwierzytelnianie podstawowe
Aby wyłączyć podstawowe, użyj tego wywołania interfejsu Edge Management API na serwerze zarządzania brzegiem uwierzytelnianie.
Aby wyłączyć uwierzytelnianie podstawowe, należy przekazać obiekt XML zwrócony w poprzedniej sekcji jako ładunek. Jedyna
różnica jest taka, że wartość <BasicAuthEnabled> jest ustawiona na false, jako
następujący przykład:
curl -H "Content-Type: application/xml"
http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d
'<SecurityProfile enabled="true" name="securityprofile">
<UserAccessControl enabled="true">
<SSOServer>
<BasicAuthEnabled>false</BasicAuthEnabled>
<PublicKeyEndPoint>/token_key</PublicKeyEndPoint>
<ServerUrl>http://35.197.37.220:9099</ServerUrl>
</SSOServer>
</UserAccessControl>
</SecurityProfile>'
Gdy wyłączysz uwierzytelnianie podstawowe, wszystkie wywołania interfejsu Edge Management API, które przejdą pozytywnie proces uwierzytelniania podstawowego dane logowania zwracają następujący błąd:
<Error>
<Code>security.SecurityProfileBasicAuthDisabled</Code>
<Message>Basic Authentication scheme not allowed</Message>
<Contexts/>
</Error>
Ponownie włącz uwierzytelnianie podstawowe
Jeśli z jakiegoś powodu musisz ponownie włączyć uwierzytelnianie podstawowe, musisz wykonać te czynności: kroki:
- Zaloguj się w dowolnym węźle Edge ZooKeeper.
- Aby wyłączyć całe zabezpieczenia, uruchom ten skrypt bash:
#! /bin/bash /opt/apigee/apigee-zookeeper/bin/zkCli.sh -server localhost:2181 <<EOF set /system/securityprofile <SecurityProfile></SecurityProfile> quit EOF
Dane wyjściowe zobaczysz w tym formacie:
Connecting to localhost:2181 Welcome to ZooKeeper! JLine support is enabled WATCHER:: WatchedEvent state:SyncConnected type:None path:null [zk: localhost:2181(CONNECTED) 0] set /system/securityprofile <SecurityProfile></SecurityProfile> cZxid = 0x89 ... [zk: localhost:2181(CONNECTED) 1] quit Quitting...
- Włącz ponownie uwierzytelnianie podstawowe i zewnętrzne uwierzytelnianie dostawcy tożsamości:
curl -H "Content-Type: application/xml" http://localhost:8080/v1/securityprofile -u sysAdminEmail:pWord -d '<SecurityProfile enabled="true" name="securityprofile"> <UserAccessControl enabled="true"> <SSOServer> <BasicAuthEnabled>true</BasicAuthEnabled> <PublicKeyEndPoint>/token_key</PublicKeyEndPoint> <ServerUrl>http://35.197.37.220:9099</ServerUrl> </SSOServer> </UserAccessControl> </SecurityProfile>'
Możesz teraz ponownie używać uwierzytelniania podstawowego. Podstawowe uwierzytelnianie nie działa gdy włączona jest nowa wersja Edge.