העברה לממשק המשתמש של Edge

בקטע הזה מוסבר איך לבצע מיגרציה מממשק המשתמש הקלאסי לממשק המשתמש של Edge עם IDP כמו LDAP או SAML.

מידע נוסף זמין בדפים הבאים:

• אימות IdP באמצעות ממשק המשתמש של Edge
• אימות IdP בממשק המשתמש הקלאסי

מי יכול לבצע את ההעברה

כדי לעבור לממשק המשתמש של Edge, צריך להתחבר בתור המשתמש שהתקין את Edge במקור או בתור משתמש root. אחרי שמריצים את קובץ ההתקנה של Edge UI, כל משתמש יכול להגדיר אותם.

לפני שמתחילים

לפני שמעבירים את הממשק הקלאסי לממשק Edge, כדאי לקרוא את ההנחיות הכלליות הבאות:

• גיבוי של הצמתים הקיימים בממשק המשתמש הקלאסי

  לפני שמבצעים עדכון, מומלץ ב-Apigee לגבות את השרת הקיים של הממשק הקלאסי.

• יציאות/חומות אש

  כברירת מחדל, ממשק המשתמש הקלאסי משתמש ביציאה 9000. ממשק המשתמש של Edge משתמש ביציאה 3001.

• מכונה וירטואלית חדשה

  אי אפשר להתקין את ממשק המשתמש של Edge באותה מכונת VM שבה מותקן הממשק הקלאסי.

  כדי להתקין את ממשק המשתמש של Edge, צריך להוסיף מכונה חדשה להגדרה. אם רוצים להשתמש באותה מכונה כמו בממשק המשתמש הקלאסי, צריך להסיר את ממשק המשתמש הקלאסי לחלוטין.

• ספק זהויות (LDAP או SAML)

  בממשק המשתמש של Edge, המשתמשים מאומתים באמצעות IDP מסוג SAML או LDAP:

  • ‫LDAP: ב-LDAP, אפשר להשתמש ב-IdP חיצוני של LDAP או בהטמעה הפנימית של SymasLDAP שמותקנת עם Edge.
  • ‫SAML: ספק הזהויות של SAML חייב להיות ספק זהויות חיצוני.

  מידע נוסף מופיע במאמר התקנה והגדרה של ספקי זהויות.

• אותו ספק זהויות

  בקטע הזה מניחים שתשתמשו באותו IdP אחרי ההעברה. לדוגמה, אם אתם משתמשים כרגע ב-IdP חיצוני של LDAP עם ממשק המשתמש הקלאסי, תמשיכו להשתמש ב-IdP חיצוני של LDAP עם ממשק המשתמש של Edge.

מעבר עם IdP פנימי של LDAP

כשמבצעים מיגרציה מהממשק הקלאסי לממשק Edge בהגדרה שמשתמשת בהטמעה של LDAP פנימי (SymasLDAP) כספק זהויות (IdP), צריך לפעול לפי ההנחיות הבאות:

• הגדרת קישור עקיף

  מתקינים את ממשק המשתמש של Edge באמצעות ההוראות האלה, עם השינוי הבא בקובץ התצורה השקט:

  מגדירים את ה-LDAP לשימוש בחיפוש ובקישור (עקיף), כמו בדוגמה הבאה:

  SSO_LDAP_PROFILE=indirect
  SSO_LDAP_BASE_URL=ldap://localhost:10389
  SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com
  SSO_LDAP_ADMIN_PWD=Secret123
  SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com
  SSO_LDAP_SEARCH_FILTER=mail={0}
  SSO_LDAP_MAIL_ATTRIBUTE=mail

• אימות בסיסי עבור ממשק ה-API לניהול

  כברירת מחדל, האימות הבסיסי לממשקי API ממשיך לפעול עבור כל משתמשי LDAP כש-Apigee SSO מופעל. אפשר גם להשבית את האימות הבסיסי, כמו שמתואר במאמר בנושא השבתת אימות בסיסי ב-Edge.

• אימות OAuth2 עבור Management API

  אימות מבוסס-טוקן מופעל כשמפעילים כניסה יחידה (SSO).

• תהליך למשתמשים חדשים או לאיפוס סיסמה

  צריך ליצור משתמשים חדשים באמצעות ממשקי API כי תהליכי העבודה של הסיסמאות לא יפעלו יותר בממשק המשתמש של Edge.

העברה באמצעות ספק IdP חיצוני של LDAP

כשמבצעים מיגרציה מהממשק הקלאסי לממשק Edge בהגדרה שבה נעשה שימוש בהטמעה של LDAP חיצוני כספק זהויות (IdP), צריך לפעול לפי ההנחיות הבאות:

• הגדרות LDAP

  מתקינים את ממשק המשתמש של Edge באמצעות ההוראות האלה. אפשר להגדיר קשירה ישירה או עקיפה בקובץ ההגדרות השקט.

• הגדרת שרת הניהול

  אחרי שמפעילים את Apigee SSO, צריך להסיר את כל מאפייני ה-LDAP החיצוני שמוגדרים בקובץ /opt/apigee/customer/application/management-server.properties ולהפעיל מחדש את שרת הניהול.

• אימות בסיסי עבור ממשק ה-API לניהול

  אימות בסיסי פועל למשתמשי מכונה אבל לא למשתמשי LDAP. השינויים האלה חשובים במיוחד אם בתהליך CI/CD שלכם עדיין נעשה שימוש באימות בסיסי כדי לגשת למערכת.

• אימות OAuth2 עבור Management API

  משתמשי LDAP יכולים לגשת ל-Management API רק באמצעות אסימונים.

העברה באמצעות IdP חיצוני של SAML

כשמבצעים מיגרציה לממשק המשתמש של Edge, אין שינויים בהוראות ההתקנה של SAML IDP.