Stai visualizzando la documentazione di Apigee Edge.
Vai alla
documentazione di Apigee X. informazioni
Apigee fornisce le seguenti utilità per generare e passare token di accesso e di aggiornamento OAuth2. Puoi utilizzare questi token per autenticarti nelle chiamate API Edge con OAuth (inclusi i flussi di lavoro SAML e LDAP):
acurl
(1): fornisce un wrapper di praticità per un comandocurl
standard. Crea richieste HTTP all'API Edge, ottiene i token di accesso e di aggiornamento daget_token
e passa il token di accesso all'API Edge.get_token
(1): scambia le credenziali Apigee per i token di accesso e di aggiornamento che puoi utilizzare per chiamare l'API Edge.
Entrambe queste utilità scambiano le credenziali dell'account Apigee (nome utente e password o passcode) con token OAuth2.
I token creati dalle utilità di Apigee sono conformi alle specifiche del framework di autorizzazione OAuth 2.0.
L'utilizzo delle utilità Apigee per ottenere i token o accedere al server di autenticazione per le API Edge è facoltativo. Puoi implementare i tuoi schemi per generare token di accesso OAuth2 e inviarli nelle tue richieste all'API Edge.
Installa acurl e get_token
Apigee fornisce un file ZIP contenente acurl
(1), get_token
(1) e
uno script di installazione.
Per installare acurl
e get_token
:
- Crea una directory di installazione sul computer o utilizza la directory
usr/local/bin
predefinita. - Scarica il file ZIP di installazione da Apigee:
curl https://login.apigee.com/resources/scripts/sso-cli/ssocli-bundle.zip -O
- Decomprimi il file scaricato.
- Esegui lo script di installazione:
sudo ./install -b /usr/local/bin
L'opzione
-b
specifica la posizione dei file eseguibili. Se non specifichi questa opzione, lo script di installazione installa le utilità in/usr/local/bin
. - Testa le installazioni:
acurl -h
get_token -h
Se l'installazione ha esito positivo, questi comandi restituiscono il testo della guida per le utilità.
Scadenza del token
acurl
e get_token
generano token con le seguenti durate:
- I token di accesso scadono dopo 12 ore.
- I token di aggiornamento scadono dopo 30 giorni.
Di conseguenza, dopo aver effettuato correttamente una chiamata API con acurl
o get_token
,
puoi continuare a utilizzare la coppia di token per 30 giorni. Dopo la scadenza, devi inserire di nuovo le tue credenziali e ricevere nuovi token.
Imposta l'endpoint SSO
Prima di effettuare la prima chiamata, devi impostare l'endpoint del server di autorizzazione per l'API Edge che vuoi utilizzare con acurl
e get_token
.
Dal terminale, imposta la variabile di ambiente SSO_LOGIN_URL
sull'endpoint
del server di autorizzazione. Ad esempio:
- Per i clienti Cloud senza zona:
export SSO_LOGIN_URL=https://login.apigee.com
- Per i clienti Cloud con zona:
export SSO_LOGIN_URL=https://zone_name.login.apigee.com
- Per i clienti del cloud privato, contatta l'amministratore per conoscere l'endpoint SSO appropriato.
Utilizza un passcode monouso (obbligatorio per SAML)
Quando effettui una chiamata API con acurl
o get_token
, devi autenticarti con l'utilità per ricevere una coppia di token. Puoi farlo inserendo il nome utente, la password
e un codice MFA del tuo account Apigee. Tuttavia, se utilizzi un IdP SAML o non vuoi utilizzare la tua password, puoi ottenere un passcode monouso.
Per ricevere un passcode monouso:
- Inserisci il seguente URL in un browser:
- Per i clienti Cloud senza zona:
https://login.apigee.com/passcode
- Per i clienti Cloud con zona:
https://zone_name.login.apigee.com/passcode
- Per i clienti del cloud privato, contatta l'amministratore per conoscere l'endpoint SSO appropriato.
- Per i clienti Cloud senza zona:
- Accedi al tuo account Apigee.
- Copia il passcode di 6 caratteri.
- Usa
acurl
oget_token
con l'opzione-p
e passa il passcode, come nell'esempio seguente:get_token -p 1a2b3c
Visualizzare i token
Quando esegui correttamente acurl
o get_token
, le utilità creano un file di dati in ~/.sso-cli
contenente i token e altri metadati.
Per visualizzare i token, puoi utilizzare un comando come il seguente:
get_token -v
Questo comando visualizza le attestazioni dei token decodificati, ad esempio:
Decoded token claims: { "jti": "8018507e-9f34-4a90-bf97-ff226a06b19b", "sub": "858217a9-01a1-4111-8525-75ca555f5d5c", "scope": [ "scim.emails.read", "scim.me", "openid", "password.write", "approvals.me", "scim.ids.read", "oauth.approvals" ], "client_id": "edgecli", "cid": "edgecli", "azp": "edgecli", "grant_type": "password", "user_id": "858217a9-01a1-4111-8525-75ca555f5d5c", "origin": "usergrid", "user_name": "myusername@google.com", "email": "myusername@google.com", "auth_time": 1597444772, "al": 0, "rev_sig": "6271c527", "iat": 1597444772, "exp": 1597487972, "iss": "https://login.apigee.com", "zid": "uaa", "aud": [ "edgecli", "scim.emails", "scim", "openid", "password", "approvals", "scim.ids", "oauth" ] } Current timestamp: 1597444983 Existing access token is still valid
(1) Copyright 2023 Google LLC
Gli strumenti acurl
e get_token
sono resi disponibili come "Software" ai sensi del
contratto che regola l'utilizzo della piattaforma Google Cloud da parte dell'utente, inclusi i Termini specifici del servizio disponibili all'indirizzo https://cloud.google.com/terms/service-terms.