Phần này cung cấp hướng dẫn cách di chuyển từ giao diện người dùng cổ điển sang giao diện người dùng Edge bằng IDP như LDAP hoặc SAML.
Để biết thêm thông tin, hãy xem các bài viết sau:
Những người có thể thực hiện quá trình di chuyển
Để di chuyển sang giao diện người dùng Edge, bạn phải đăng nhập với tư cách là người dùng đã cài đặt ban đầu Edge hoặc người dùng gốc. Sau khi bạn chạy trình cài đặt cho giao diện người dùng Edge, bất kỳ người dùng nào cũng có thể định cấu hình chúng.
Trước khi bắt đầu
Trước khi chuyển từ giao diện người dùng cổ điển sang giao diện người dùng Edge, hãy đọc các nguyên tắc chung sau đây:
- Sao lưu các nút Giao diện người dùng cũ hiện có
Trước khi cập nhật, Apigee khuyên bạn nên sao lưu máy chủ giao diện người dùng cũ hiện có.
- Cổng/tường lửa
Theo mặc định, giao diện người dùng cổ điển sử dụng cổng 9000. Giao diện người dùng Edge sử dụng cổng 3001.
- Máy ảo mới
Bạn không thể cài đặt giao diện người dùng Edge trên cùng một máy ảo với giao diện người dùng cổ điển.
Để cài đặt giao diện người dùng Edge, bạn phải thêm máy mới vào cấu hình. Nếu bạn muốn để sử dụng cùng một máy như Giao diện người dùng cổ điển, thì bạn phải gỡ cài đặt hoàn toàn Giao diện người dùng cổ điển.
- Nhà cung cấp danh tính (LDAP hoặc SAML)
Giao diện người dùng Edge xác thực người dùng bằng IDP SAML hoặc LDAP:
- LDAP: Đối với LDAP, bạn có thể sử dụng IDP LDAP bên ngoài hoặc bạn có thể sử dụng hoạt động triển khai OpenLDAP nội bộ được cài đặt với Edge.
- SAML: IDP SAML phải là IDP bên ngoài.
Để biết thêm thông tin, hãy xem bài viết Cài đặt và định cấu hình IDP.
- Cùng một IDP
Phần này giả định rằng bạn sẽ sử dụng cùng một IDP sau khi di chuyển. Ví dụ: nếu bạn bạn hiện đang sử dụng một IDP LDAP bên ngoài với Giao diện người dùng cổ điển, thì bạn sẽ tiếp tục sử dụng IDP LDAP bên ngoài với giao diện người dùng Edge.
Di chuyển bằng IDP LDAP nội bộ
Hãy làm theo các nguyên tắc sau đây khi di chuyển từ Giao diện người dùng cổ điển sang giao diện người dùng Edge trong cấu hình sử dụng triển khai LDAP nội bộ (OpenLDAP) làm IDP:
- Cấu hình liên kết gián tiếp
Cài đặt giao diện người dùng Edge bằng cách sử dụng các giao diện này , với thay đổi sau đối với tệp cấu hình ngầm:
Định cấu hình LDAP để sử dụng tính năng tìm kiếm và liên kết (gián tiếp), như trong ví dụ sau đây:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail - Xác thực cơ bản cho API quản lý
Theo mặc định, phương thức xác thực cơ bản cho API vẫn tiếp tục hoạt động đối với tất cả người dùng LDAP khi Đã bật tính năng Đăng nhập một lần (SSO) của Apigee. Bạn có thể tuỳ ý tắt phương thức Xác thực cơ bản, như mô tả trong Tắt tính năng Xác thực cơ bản trên Edge.
- Xác thực OAuth2 cho API quản lý
Tính năng xác thực dựa trên mã thông báo đang bật khi bạn bật tính năng SSO.
- Quy trình mới cho người dùng/mật khẩu
Bạn phải tạo người dùng mới bằng API vì các luồng mật khẩu sẽ không hoạt động trong Edge nữa Giao diện người dùng.
Di chuyển bằng IDP LDAP bên ngoài
Hãy làm theo các nguyên tắc sau đây khi di chuyển từ Giao diện người dùng cổ điển sang giao diện người dùng Edge trong cấu hình sử dụng phương thức triển khai LDAP bên ngoài dưới dạng nhà cung cấp danh tính (IDP):
- Cấu hình LDAP
Cài đặt giao diện người dùng Edge bằng cách sử dụng các giao diện này hướng dẫn. Bạn có thể định cấu hình liên kết trực tiếp hoặc gián tiếp trong chế độ im lặng tệp cấu hình.
- Cấu hình máy chủ quản lý
Sau khi bật dịch vụ SSO của Apigee, bạn cần xoá tất cả Giao thức truy cập thư mục hạng nhẹ (LDAP) bên ngoài các thuộc tính đã được xác định trong
/opt/apigee/customer/application/management-server.propertiesrồi khởi động lại Máy chủ quản lý. - Xác thực cơ bản cho API quản lý
Phương thức xác thực cơ bản hoạt động với người dùng máy chứ không phải người dùng LDAP. Đây là những yếu tố rất quan trọng nếu quy trình CI/CD vẫn sử dụng Phương thức xác thực cơ bản để truy cập vào hệ thống.
- Xác thực OAuth2 cho API quản lý
Người dùng LDAP chỉ có thể truy cập API quản lý bằng mã thông báo.
Di chuyển bằng nhà cung cấp danh tính (IDP) bên ngoài
Khi di chuyển sang giao diện người dùng Edge, phần hướng dẫn cài đặt sẽ không thay đổi cho một IDP SAML.