Phần này cung cấp hướng dẫn cách di chuyển từ giao diện người dùng cổ điển sang giao diện người dùng Edge bằng IDP như LDAP hoặc SAML.
Để biết thêm thông tin, hãy xem các bài viết sau:
Những người có thể thực hiện quá trình di chuyển
Để di chuyển sang giao diện người dùng Edge, bạn phải đăng nhập bằng tài khoản người dùng đã cài đặt Edge ban đầu hoặc bằng tài khoản người dùng gốc. Sau khi bạn chạy trình cài đặt cho giao diện người dùng Edge, mọi người dùng đều có thể định cấu hình các giao diện đó.
Trước khi bắt đầu
Trước khi chuyển từ giao diện người dùng cổ điển sang giao diện người dùng Edge, hãy đọc các nguyên tắc chung sau đây:
- Sao lưu các nút Giao diện người dùng cũ hiện có
Trước khi cập nhật, Apigee khuyên bạn nên sao lưu máy chủ giao diện người dùng cũ hiện có.
- Cổng/tường lửa
Theo mặc định, Giao diện người dùng cổ điển sử dụng cổng 9000. Giao diện người dùng Edge sử dụng cổng 3001.
- Máy ảo mới
Bạn không thể cài đặt giao diện người dùng Edge trên cùng một máy ảo với giao diện người dùng cổ điển.
Để cài đặt giao diện người dùng Edge, bạn phải thêm một máy mới vào cấu hình. Nếu muốn sử dụng cùng một máy với Giao diện người dùng cổ điển, thì bạn phải gỡ cài đặt hoàn toàn Giao diện người dùng cổ điển.
- Nhà cung cấp danh tính (LDAP hoặc SAML)
Giao diện người dùng Edge xác thực người dùng bằng IDP SAML hoặc LDAP:
- LDAP: Đối với LDAP, bạn có thể sử dụng IDP LDAP bên ngoài hoặc bạn có thể sử dụng hoạt động triển khai OpenLDAP nội bộ được cài đặt cùng với Edge.
- SAML: IDP SAML phải là IDP bên ngoài.
Để biết thêm thông tin, hãy xem bài viết Cài đặt và định cấu hình IDP.
- Cùng một IDP
Phần này giả định rằng bạn sẽ sử dụng cùng một IDP sau khi di chuyển. Ví dụ: nếu bạn hiện đang sử dụng một IDP LDAP bên ngoài với Giao diện người dùng cổ điển, thì bạn sẽ tiếp tục sử dụng một IDP LDAP bên ngoài với Giao diện người dùng Edge.
Di chuyển bằng IDP Giao thức truy cập thư mục hạng nhẹ (LDAP) nội bộ
Hãy sử dụng các nguyên tắc sau đây khi di chuyển từ Giao diện người dùng cổ điển sang Giao diện người dùng Edge trong một cấu hình sử dụng phương thức triển khai LDAP nội bộ (OpenLDAP) làm IDP:
- Cấu hình liên kết gián tiếp
Cài đặt giao diện người dùng Edge bằng cách sử dụng các giao diện này , với thay đổi sau đối với tệp cấu hình ngầm:
Định cấu hình LDAP để sử dụng tính năng tìm kiếm và liên kết (gián tiếp), như trong ví dụ sau đây:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail - Xác thực cơ bản cho API quản lý
Theo mặc định, tính năng xác thực cơ bản cho API sẽ tiếp tục hoạt động đối với tất cả người dùng LDAP khi bạn bật Apigee SSO. Bạn có thể tuỳ ý tắt phương thức Xác thực cơ bản, như mô tả trong Tắt tính năng Xác thực cơ bản trên Edge.
- Xác thực OAuth2 cho API quản lý
Tính năng xác thực dựa trên mã thông báo sẽ được bật khi bạn bật SSO.
- Quy trình mới cho người dùng/mật khẩu
Bạn phải tạo người dùng mới bằng API vì các luồng mật khẩu sẽ không còn hoạt động trong giao diện người dùng Edge.
Di chuyển bằng IDP LDAP bên ngoài
Hãy sử dụng các nguyên tắc sau đây khi di chuyển từ Giao diện người dùng cổ điển sang Giao diện người dùng Edge trong một cấu hình sử dụng phương thức triển khai LDAP bên ngoài làm IDP:
- Cấu hình LDAP
Cài đặt giao diện người dùng Edge bằng cách sử dụng các giao diện này hướng dẫn. Bạn có thể định cấu hình liên kết trực tiếp hoặc gián tiếp trong tệp cấu hình chế độ im lặng.
- Cấu hình máy chủ quản lý
Sau khi bật dịch vụ SSO của Apigee, bạn cần xoá tất cả Giao thức truy cập thư mục hạng nhẹ (LDAP) bên ngoài các thuộc tính đã được xác định trong
/opt/apigee/customer/application/management-server.propertiesrồi khởi động lại Máy chủ quản lý. - Xác thực cơ bản cho API quản lý
Phương thức xác thực cơ bản hoạt động với người dùng máy chứ không phải người dùng LDAP. Đây sẽ là những thông tin quan trọng nếu quy trình CI/CD của bạn vẫn sử dụng phương thức xác thực cơ bản để truy cập vào hệ thống.
- Xác thực OAuth2 cho API quản lý
Người dùng LDAP chỉ có thể truy cập API quản lý bằng mã thông báo.
Di chuyển bằng nhà cung cấp danh tính (IDP) bên ngoài
Khi di chuyển sang giao diện người dùng Edge, hướng dẫn cài đặt cho IDP SAML sẽ không thay đổi.