本節提供指南,說明如何使用 LDAP 或 SAML 等 IDP,從傳統版 UI 遷移至 Edge UI。
如需詳細資訊,請參閱:
哪些人可以執行遷移作業
如要遷移至 Edge UI,您必須以原始安裝 Edge 的使用者身分登入,或是以根使用者身分登入。執行 Edge UI 安裝程式後,任何使用者都能設定。
事前準備
從傳統版 UI 遷移至 Edge UI 之前,請先詳閱下列一般指南:
- 備份現有的傳統 UI 節點
更新前,Apigee 建議您備份現有的傳統版 UI 伺服器。
- 連接埠/防火牆
傳統 UI 預設使用通訊埠 9000。Edge 使用者介面使用通訊埠 3001。
- 新 VM
Edge UI 無法安裝在與 Classic UI 相同的 VM 上。
如要安裝 Edge UI,您必須在設定中新增機器。如要使用與傳統 UI 相同的機器,請務必完整解除安裝傳統 UI。
- 識別資訊提供者 (LDAP 或 SAML)
Edge UI 會使用 SAML 或 LDAP IDP 驗證使用者:
- LDAP:對於 LDAP,您可以使用外部 LDAP IDP,也可以使用隨 Edge 安裝的內部 SymasLDAP 實作。
- SAML:SAML IDP 必須是外部 IDP。
詳情請參閱「安裝及設定 IDP」。
- 相同 IDP
本節假設您在遷移後會使用相同的 IDP。舉例來說,如果您目前使用外部 LDAP IDP 和傳統 UI,則會繼續使用外部 LDAP IDP 和 Edge UI。
使用內部 LDAP IdP 遷移
在以內部 LDAP 實作 (SymasLDAP) 做為 IDP 的設定中,從傳統 UI 遷移至 Edge UI 時,請遵守下列規範:
- 間接繫結設定
按照這些指示安裝 Edge UI,並對無聲設定檔進行下列變更:
設定 LDAP 以使用搜尋和繫結 (間接),如下列範例所示:
SSO_LDAP_PROFILE=indirect SSO_LDAP_BASE_URL=ldap://localhost:10389 SSO_LDAP_ADMIN_USER_DN=uid=admin,ou=users,ou=global,dc=apigee,dc=com SSO_LDAP_ADMIN_PWD=Secret123 SSO_LDAP_SEARCH_BASE=dc=apigee,dc=com SSO_LDAP_SEARCH_FILTER=mail={0} SSO_LDAP_MAIL_ATTRIBUTE=mail - 管理 API 的基本驗證
啟用 Apigee SSO 後,所有 LDAP 使用者預設仍可使用 API 的基本驗證。您可以選擇停用基本驗證,詳情請參閱「在 Edge 上停用基本驗證」。
- 管理 API 的 OAuth2 驗證
啟用單一登入時,系統會啟用權杖式驗證。
- 新使用者/密碼流程
您必須使用 API 建立新使用者,因為密碼流程將無法在 Edge 使用者介面中運作。
使用外部 LDAP IDP 遷移
在以外部 LDAP 實作做為 IDP 的設定中,從傳統 UI 遷移至 Edge UI 時,請遵循下列準則:
- LDAP 設定
請按照這些操作說明安裝 Edge UI。您可以在無聲設定檔中設定直接或間接繫結。
- 管理伺服器設定
啟用 Apigee SSO 後,請移除
/opt/apigee/customer/application/management-server.properties檔案中定義的所有外部 LDAP 屬性,然後重新啟動管理伺服器。 - 管理 API 的基本驗證
基本驗證適用於電腦使用者,但不適用於 LDAP 使用者。如果 CI/CD 程序仍使用基本驗證存取系統,這些資訊就非常重要。
- 管理 API 的 OAuth2 驗證
LDAP 使用者只能透過權杖存取管理 API。
使用外部 SAML IDP 遷移
遷移至 Edge UI 時,SAML IDP 的安裝說明不會有任何變更。