Cette section fournit des conseils sur la migration de l'interface utilisateur classique vers l'interface utilisateur Edge avec un IdP tel que LDAP ou SAML.
Pour en savoir plus, consultez :
- Authentification IdP avec l'interface utilisateur Edge
- Authentification IdP avec l'interface utilisateur classique
Qui peut effectuer la migration ?
Pour migrer vers l'interface utilisateur Edge, vous devez être connecté en tant qu'utilisateur qui a installé Edge à l'origine ou en tant qu'utilisateur racine. Après avoir exécuté le programme d'installation pour l'interface utilisateur Edge, n'importe quel utilisateur peut le configurer.
Avant de commencer
Avant de migrer de l'interface utilisateur classique vers l'interface utilisateur Edge, lisez les consignes générales suivantes:
- Sauvegarder les nœuds d'interface utilisateur classiques existants
Avant de procéder à la mise à jour, Apigee vous recommande de sauvegarder votre serveur d'interface utilisateur classique.
- Ports/Pare-feu
Par défaut, l'interface utilisateur classique utilise le port 9000. L'interface utilisateur Edge utilise le port 3001.
- Nouvelle VM
L'interface utilisateur Edge ne peut pas être installée sur la même VM que l'interface utilisateur classique.
Pour installer l'interface utilisateur Edge, vous devez ajouter une nouvelle machine à votre configuration. Si vous souhaitez utiliser la même machine que l'UI classique, vous devez la désinstaller complètement.
- Fournisseur d'identité (LDAP ou SAML)
L'interface utilisateur Edge authentifie les utilisateurs avec un IdP SAML ou LDAP:
- LDAP:pour LDAP, vous pouvez soit utiliser un IdP LDAP externe, soit utiliser l'implémentation OpenLDAP interne installée avec Edge.
- SAML:le fournisseur d'identité SAML doit être un IdP externe.
Pour en savoir plus, consultez Installer et configurer des IdP.
- Même IdP
Cette section suppose que vous utiliserez le même IdP après la migration. Par exemple, si vous utilisez actuellement un IdP LDAP externe avec l'interface utilisateur classique, vous continuerez à utiliser un IdP LDAP externe avec l'interface utilisateur Edge.
Migrer avec un IdP LDAP interne
Suivez les consignes suivantes lors de la migration de l'interface utilisateur classique vers l'interface utilisateur Edge dans une configuration qui utilise l'implémentation LDAP interne (OpenLDAP) en tant qu'IdP:
- Configuration de la liaison indirecte
Installez l'interface utilisateur Edge en suivant ces instructions, en apportant la modification suivante à votre fichier de configuration silencieuse:
Configurez LDAP pour utiliser la recherche et la liaison (indirecte), comme le montre l'exemple suivant:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail
- Authentification de base pour l'API de gestion
L'authentification de base des API continue de fonctionner par défaut pour tous les utilisateurs LDAP lorsqu'Apigee SSO est activé. Vous pouvez éventuellement désactiver l'authentification de base, comme décrit dans la section Désactiver l'authentification de base sur Edge.
- Authentification OAuth2 pour l'API de gestion
L'authentification par jeton est activée lorsque vous activez l'authentification unique.
- Nouveau parcours utilisateur/mot de passe
Vous devez créer de nouveaux utilisateurs avec des API, car les flux de mots de passe ne fonctionneront plus dans l'interface utilisateur Edge.
Migrer avec un IdP LDAP externe
Suivez les consignes suivantes lors de la migration de l'interface utilisateur classique vers l'interface utilisateur Edge dans une configuration qui utilise une implémentation LDAP externe en tant qu'IdP:
- Configuration LDAP
Installez l'interface utilisateur Edge en suivant ces instructions. Vous pouvez configurer une liaison directe ou indirecte dans votre fichier de configuration silencieux.
- Configuration du serveur de gestion
Après avoir activé l'authentification unique Apigee, supprimez toutes les propriétés LDAP externes définies dans le fichier
/opt/apigee/customer/application/management-server.properties
et redémarrez le serveur de gestion. - Authentification de base pour l'API de gestion
L'authentification de base fonctionne pour les utilisateurs machine, mais pas pour les utilisateurs LDAP. Celles-ci sont essentielles si votre processus CI/CD utilise toujours l'authentification de base pour accéder au système.
- Authentification OAuth2 pour l'API de gestion
Les utilisateurs LDAP ne peuvent accéder à l'API de gestion qu'à l'aide de jetons.
Effectuer une migration avec un fournisseur d'identité SAML externe
Lors de la migration vers l'interface utilisateur Edge, aucune modification n'est apportée aux instructions d'installation d'un fournisseur d'identité (IdP) SAML.