このページは Cloud Translation API によって翻訳されました。

HTTPS アクセス用に Apigee SSO を構成する

SSO_TOMCAT_PROFILE=DEFAULT

または、SSO_TOMCAT_PROFILE を次のいずれかに設定することもできます。値を使用して HTTPS アクセスを有効にします。

SSL_PROXY: apigee-sso（Apigee SSO モジュール）を構成します。プロキシモード。つまり、apigee-sso の前にロードバランサが設置されています。ロードバランサで TLS を終端します。次に、サービスで使用するポートを apigee-sso: ロードバランサからのリクエスト。
SSL_TERMINATION: オンプレミスネットワークに対する apigee-sso への TLS アクセスが有効ポートを選択できますこのモードでは、証明書を含むキーストアを指定する必要があります CA によって署名されたものです。自己署名証明書は使用できません。

最初のインストールと構成時に HTTPS を有効にすることもできます。 apigee-sso。後で有効にすることもできます。

いずれかのモードを使用して apigee-sso への HTTPS アクセスを有効にすると、HTTP が無効になりますできます。つまり、HTTP と HTTPS の両方を使用して apigee-sso にアクセスすることはできません。できます。

注: 外部 IP アドレスに対して HTTPS アクセスを構成した場合、 apigee-sso です。URL は必ず更新してください。（HTTPS を使用するように Edge UI と IDP が使用する必要があります）また、オンプレミスで HTTPS を有効にすると、 9099 以外のポートを使用する場合は、正しいポート番号を使用するように UI と IDP を更新してください。

SSL_PROXY モードを有効にする

SSL_PROXY モードでは、システムは Apigee SSO モジュールの前面でロードバランサを使用し、そのロードバランサで TLS を終端します。イン次の図では、ロードバランサは TLS をポート 443 で終端し、リクエストを Apigee SSO モジュールをポート 9099 で接続します。

この構成では、ロードバランサから Apigee SSO モジュールへの接続を信頼します。そのため、その接続に TLS を使用する必要はありません。ただし、IDP などの外部エンティティは、 Apigee SSO モジュールには、保護されていないポート 9099 ではなく、ポート 443 でアクセスする必要があります。

Apigee SSO モジュールを SSL_PROXY モードで構成する理由は、Apigee SSO がモジュールは、認証プロセスの一環として IDP によって外部で使用されるリダイレクト URL を自動生成します。プロセスですそのため、これらのリダイレクト URL には読み込み時の外部ポート番号を含める必要があります。 Apigee SSO モジュールの内部ポート（この例では 9099）ではありません。

注: TLS 証明書と鍵を作成する必要はありません。 SSL_PROXY モードは、ロードバランサから Apigee SSO モジュールへの接続が HTTP を使用します。

Apigee SSO モジュールを SSL_PROXY モードに構成するには:

構成ファイルに次の設定を追加します。

# Enable SSL_PROXY mode.
SSO_TOMCAT_PROFILE=SSL_PROXY

# Specify the apigee-sso port, typically between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9099

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to auto-generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

Apigee SSO モジュールを構成します。

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

IdP の構成を更新して、負荷のポート 443 で HTTPS リクエストを行うようにします。アクセスできるようにする必要があります。詳細については、次のいずれかをご覧ください。 <ph type="x-smartling-placeholder">
- SAML IDP を構成する
- LDAP IDP を構成する
構成ファイルで次のプロパティを設定して、HTTPS 用に Edge UI 構成を更新します。
```
SSO_PUBLIC_URL_PORT=443
SSO_PUBLIC_URL_SCHEME=https
```
次に、Edge UI を更新します。
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-sso -f configFile
```
従来の UI には edge-ui コンポーネントを使用します。
Apigee Developer Services ポータル（略して「ポータル」）をインストールした場合は、HTTPS を使用して Apigee SSO にアクセスするようにポータルを更新します。対象詳細については、以下をご覧ください。外部 IDP を使用するようにポータルを構成する

詳細については、Edge UI で外部 IDP を有効にするをご覧ください。ご確認ください。

SSL_TERMINATION モードを有効にする

SSL_TERMINATION モードの場合は、次のことを行う必要があります。

TLS 証明書と鍵を生成し、キーストアファイルに保存します。 自己署名証明書を使用できます。CA からの証明書を生成する必要があります。
apigee-sso. の構成を更新する

証明書と鍵からキーストアファイルを作成するには:

JKS ファイル用のディレクトリを作成します。

sudo mkdir -p /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

新しいディレクトリに移動します。

cd /opt/apigee/customer/application/apigee-sso/tomcat-ssl/

証明書と鍵を含む JKS ファイルを作成します。このモードではキーストアを指定する必要があります証明書ファイルが作成されます自己署名証明書は使用できません。たとえば作成方法については、Google Cloud で TLS/SSL のオンプレミスのエッジ。

JKS ファイルの所有者を「apigee」にするユーザー:

sudo chown -R apigee:apigee /opt/apigee/customer/application/apigee-sso/tomcat-ssl

Apigee SSO モジュールを構成するには:

構成ファイルに次の設定を追加します。

# Enable SSL_TERMINATION mode.
SSO_TOMCAT_PROFILE=SSL_TERMINATION

# Specify the path to the keystore file.
SSO_TOMCAT_KEYSTORE_FILEPATH=/opt/apigee/customer/application/apigee-sso/tomcat-ssl/keystore.jks

SSO_TOMCAT_KEYSTORE_ALIAS=sso

# The password specified when you created the keystore.
SSO_TOMCAT_KEYSTORE_PASSWORD=keystorePassword

# Specify the HTTPS port number between 1025 and 65535.
# Typically ports 1024 and below require root access by apigee-sso.
# The default is 9099.
SSO_TOMCAT_PORT=9443
SSO_PUBLIC_URL_PORT=9443

# Set public access scheme of apigee-sso to https.
SSO_PUBLIC_URL_SCHEME=https

Apigee SSO モジュールを構成します。

/opt/apigee/apigee-service/bin/apigee-service apigee-sso setup -f configFile

IdP の構成を更新して、負荷のポート 9443 で HTTPS リクエストを行うようにします。アクセスできるようにする必要があります。他のサービスがこのポートを使用していないことを確認してください。
詳しくは以下をご覧ください。
- SAML IDP を構成する
- LDAP IDP を構成する
次のプロパティを設定して、HTTPS 用に Edge UI 構成を更新します。
```
SSO_PUBLIC_URL_PORT=9443
SSO_PUBLIC_URL_SCHEME=https
```
Developer Services ポータルをインストール済みの場合は、HTTPS を使用するようにポータルを更新して、 Apigee SSO にアクセスできます。詳細については、次をご覧ください。外部 IDP を使用するようにポータルを構成します。

SSL_TERMINATION モードを使用する場合に SSO_TOMCAT_PROXY_PORT を設定する

Apigee SSO モジュールの前にロードバランサを配置して、負荷時に TLS を終端させるロードバランサと Apigee SSO 間の TLS も有効にします。上の図では、 SSL_PROXY モードの場合、ロードバランサから Apigee SSO への接続には、 TLS です。

このシナリオでは、上記の SSL_TERMINATION モード。ただし、 Apigee SSO が TLS に使用するものとは異なる TLS ポート番号を使用する場合は、構成ファイルの SSO_TOMCAT_PROXY_PORT プロパティ。例:

ロードバランサは、TLS をポート 443 で終端します。
Apigee SSO がポート 9443 で TLS を終端する

構成ファイルに次の設定が含まれていることを確認してください。

# Specify the port number on the load balancer for terminating TLS.
# This port number is necessary for apigee-sso to generate redirect URLs.
SSO_TOMCAT_PROXY_PORT=443
SSO_PUBLIC_URL_PORT=443

ポート 443 で HTTPS リクエストを行うように IDP と Edge UI を構成します。