Переход на пользовательский интерфейс Edge

В этом разделе приведены рекомендации по переходу с классического пользовательского интерфейса на пользовательский интерфейс Edge с использованием IDP , такого как LDAP или SAML.

Более подробную информацию см.:

• Аутентификация IDP с помощью Edge UI
• Аутентификация IDP с классическим пользовательским интерфейсом

Кто может выполнить миграцию

Для перехода на Edge UI необходимо войти в систему как пользователь, изначально установивший Edge, или как пользователь root. После запуска установщика Edge UI любой пользователь сможет его настроить.

Прежде чем начать

Перед переходом с классического пользовательского интерфейса на пользовательский интерфейс Edge ознакомьтесь со следующими общими рекомендациями:

• Создайте резервную копию существующих узлов Classic UI.

  Перед обновлением Apigee рекомендует создать резервную копию существующего сервера Classic UI.

• Порты/брандмауэры

  По умолчанию Classic UI использует порт 9000. Edge UI использует порт 3001.

• Новая виртуальная машина

  Edge UI нельзя установить на ту же виртуальную машину, что и Classic UI.

  Для установки Edge UI необходимо добавить новый компьютер в конфигурацию. Если вы хотите использовать тот же компьютер, что и Classic UI, необходимо полностью удалить Classic UI.

• Поставщик удостоверений (LDAP или SAML)

  Edge UI аутентифицирует пользователей с помощью SAML или LDAP IDP :

  • LDAP: Для LDAP вы можете использовать внешний LDAP IDP или внутреннюю реализацию SymasLDAP, которая устанавливается вместе с Edge.
  • SAML: IDP SAML должен быть внешним IDP.

  Более подробную информацию см. в разделе Установка и настройка IDP .

• Тот же ВПЛ

  В этом разделе предполагается, что после миграции вы будете использовать тот же IDP. Например, если вы сейчас используете внешний LDAP IDP с классическим пользовательским интерфейсом, вы продолжите использовать внешний LDAP IDP и с Edge UI.

Миграция с использованием внутреннего LDAP IDP

Используйте следующие рекомендации при переходе с классического пользовательского интерфейса на пользовательский интерфейс Edge в конфигурации, которая использует внутреннюю реализацию LDAP (SymasLDAP) в качестве IDP:

• Конфигурация косвенного связывания

  Установите Edge UI, следуя этим инструкциям , внеся следующие изменения в файл конфигурации режима молчания:

  Настройте LDAP для использования поиска и привязки (косвенной), как показано в следующем примере:

  SSO_LDAP_PROFILE=indirect
  SSO_LDAP_BASE_URL=ldap://localhost:10389
  SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com
  SSO_LDAP_ADMIN_PWD=Secret123
  SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com
  SSO_LDAP_SEARCH_FILTER=mail={0}
  SSO_LDAP_MAIL_ATTRIBUTE=mail

• Базовая аутентификация для API управления

  Базовая аутентификация для API продолжает работать по умолчанию для всех пользователей LDAP при включении Apigee SSO. При желании вы можете отключить базовую аутентификацию, как описано в разделе Отключение базовой аутентификации в Edge .

• Аутентификация OAuth2 для API управления

  Аутентификация на основе токенов включается при включении единого входа (SSO).

• Новый процесс ввода имени пользователя и пароля

  Вам придется создавать новых пользователей с помощью API, поскольку потоки паролей больше не будут работать в Edge UI.

Миграция с использованием внешнего LDAP IDP

Используйте следующие рекомендации при переходе с классического пользовательского интерфейса на пользовательский интерфейс Edge в конфигурации, которая использует внешнюю реализацию LDAP в качестве IDP:

• Конфигурация LDAP

  Установите Edge UI, следуя этим инструкциям . Вы можете настроить прямое или косвенное связывание в файле конфигурации для скрытого режима.

• Конфигурация сервера управления

  После включения Apigee SSO следует удалить все внешние свойства LDAP , определенные в файле /opt/apigee/customer/application/management-server.properties , и перезапустить сервер управления.

• Базовая аутентификация для API управления

  Базовая аутентификация работает для пользователей компьютера, но не для пользователей LDAP. Это критически важно, если ваш процесс CI/CD всё ещё использует базовую аутентификацию для доступа к системе.

• Аутентификация OAuth2 для API управления

  Пользователи LDAP могут получить доступ к API управления только с помощью токенов.

Миграция с использованием внешнего SAML IDP

При переходе на Edge UI инструкции по установке SAML IDP не изменяются.