本部分将指导您如何使用 LDAP 或 SAML 等 IDP 从传统版界面迁移到 Edge 版界面。
如需了解详情,请参阅:
谁可以执行迁移
要迁移到 Edge 界面,您必须以最初安装此 API 的用户身份登录 Edge 或根用户。运行 Edge 界面安装程序后,任何用户都可以配置这些设置。
准备工作
在从传统版界面迁移到 Edge 界面之前,请先阅读以下一般准则:
- 备份现有的经典版界面节点
Apigee 建议您在更新之前备份现有的传统版界面服务器。
- 端口/防火墙
默认情况下,传统版界面使用端口 9000。Edge 界面使用端口 3001。
- 新建虚拟机
Edge 界面无法安装在与传统版界面相同的虚拟机上。
如需安装 Edge 界面,您必须向配置中添加一台新机器。如果您想使用与传统版界面相同的机器,则必须完全卸载传统版界面。
- 身份提供方 (LDAP 或 SAML)
Edge 界面使用 SAML 或 LDAP IDP 对用户进行身份验证:
- LDAP:对于 LDAP,您可以使用外部 LDAP IDP,也可以使用随 Edge 一起安装的内部 OpenLDAP 实现。
- SAML::SAML IDP 必须是外部 IDP。
如需了解详情,请参阅安装和配置 IDP。
- 使用同一 IDP
本部分假定您将在迁移后使用相同的 IDP。例如,如果您目前将外部 LDAP IDP 与传统版界面搭配使用,则将继续将外部 LDAP IDP 与 Edge 界面搭配使用。
使用内部 LDAP IDP 进行迁移
如果配置使用内部 LDAP 实现 (OpenLDAP) 作为 IDP,从经典版界面迁移到 Edge 版界面时,请遵循以下准则:
- 间接绑定配置
按照这些说明安装 Edge 界面,并对静默配置文件进行以下更改:
将 LDAP 配置为使用搜索和绑定(间接),如以下示例所示:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail - 针对 Management API 的基本身份验证
默认情况下,API 的基本身份验证仍然适用于所有 LDAP 用户, Apigee 单点登录已启用。您可以选择停用基本身份验证,如 停用 Edge 上的基本身份验证。
- 适用于 Management API 的 OAuth2 身份验证
启用 SSO 后,系统会启用基于令牌的身份验证。
- 新建用户/密码流程
您必须使用 API 创建新用户,因为密码流在 Edge 中将不再有效 界面。
使用外部 LDAP IDP 进行迁移
以 使用外部 LDAP 实现作为 IDP 的配置:
- LDAP 配置
按照这些说明安装 Edge 界面。您可以在静默配置文件中配置直接或间接绑定。
- 管理服务器配置
启用 Apigee SSO 后,您应该移除所有 外部 LDAP 中定义的所有属性
/opt/apigee/customer/application/management-server.properties文件,然后重启 管理服务器。 - Management API 的基本身份验证
基本身份验证适用于机器用户,但不适用于 LDAP 用户。如果您的 CI/CD 流程仍使用基本身份验证来访问系统,这些信息至关重要。
- 适用于 Management API 的 OAuth2 身份验证
LDAP 用户只能使用令牌访问管理 API。
使用外部 SAML IDP 进行迁移
迁移到 Edge 界面后,SAML IdP 的安装说明不会发生任何变化。