Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation weitere Informationen
Apigee bietet die folgenden praktischen Dienstprogramme zum Generieren und Übertragen von OAuth2-Zugriffs- und Aktualisierungstokens. Sie verwenden diese Tokens, um sich bei Ihren Edge API-Aufrufen mit OAuth (einschließlich SAML- und LDAP-Workflows) zu authentifizieren:
acurl
(1): Stellt einen Convenience-Wrapper um einen standardmäßigencurl
-Befehl bereit. Konstruiert HTTP-Anfragen an die Edge API, ruft Zugriffs- und Aktualisierungstokens vonget_token
ab und gibt das Zugriffstoken an die Edge API weiter.get_token
(1): Tauscht Ihre Apigee-Anmeldedaten gegen Zugriffs- und Aktualisierungstokens aus, mit denen Sie die Edge API aufrufen können.
Beide Dienstprogramme tauschen die Anmeldedaten Ihres Apigee-Kontos (Nutzername und Passwort oder Sicherheitscode) gegen OAuth2-Tokens ein.
Die von den Apigee-Dienstprogrammen erstellten Tokens entsprechen der Spezifikation des OAuth 2.0-Autorisierungs-Frameworks.
Die Verwendung der Apigee-Dienstprogramme zum Abrufen von Tokens oder zum Zugreifen auf den Authentifizierungsserver für die Edge-APIs ist optional. Sie können Ihre eigenen Schemas implementieren, um OAuth2-Zugriffstokens zu generieren und in Ihren Anfragen an die Edge API zu senden.
acurl und get_token installieren
Apigee stellt eine ZIP-Datei mit acurl
(1), get_token
(1) und einem Installationsskript bereit.
So installieren Sie acurl
und get_token
:
- Erstellen Sie ein Installationsverzeichnis auf Ihrem Computer oder verwenden Sie das Standardverzeichnis
usr/local/bin
. - Laden Sie die ZIP-Installationsdatei von Apigee herunter:
curl https://login.apigee.com/resources/scripts/sso-cli/ssocli-bundle.zip -O
- Entpacken Sie die heruntergeladene Datei.
- Führen Sie das Installationsskript aus:
sudo ./install -b /usr/local/bin
Die Option
-b
gibt den Speicherort der ausführbaren Dateien an. Wenn Sie diese Option nicht angeben, installiert das Installationsskript die Dienstprogramme in/usr/local/bin
. - Installationen testen:
acurl -h
get_token -h
Wenn die Installation erfolgreich war, geben diese Befehle Hilfetext für die Dienstprogramme zurück.
Ablauf des Tokens
acurl
und get_token
generieren Tokens mit der folgenden Dauer:
- Zugriffstokens laufen nach 12 Stunden ab.
- Aktualisierungstokens laufen nach 30 Tagen ab.
Daher können Sie das Tokenpaar 30 Tage lang weiter verwenden, nachdem Sie einen API-Aufruf mit acurl
oder get_token
durchgeführt haben. Nach Ablauf müssen Sie Ihre Anmeldedaten noch einmal eingeben und neue Tokens abrufen.
SSO-Endpunkt festlegen
Bevor Sie den ersten Aufruf ausführen, müssen Sie den Autorisierungsserver-Endpunkt für die Edge API festlegen, die Sie mit acurl
und get_token
verwenden möchten.
Legen Sie im Terminal die Umgebungsvariable SSO_LOGIN_URL
auf den Endpunkt des Autorisierungsservers fest. Beispiel:
- Für Cloud-Kunden ohne Zone:
export SSO_LOGIN_URL=https://login.apigee.com
- Für Cloud-Kunden mit Zone:
export SSO_LOGIN_URL=https://zone_name.login.apigee.com
- Private Cloud-Kunden erhalten von ihrem Administrator den entsprechenden SSO-Endpunkt.
Einmal-Sicherheitscode verwenden (erforderlich für SAML)
Wenn Sie einen API-Aufruf mit acurl
oder get_token
ausführen, müssen Sie sich beim Dienstprogramm authentifizieren, um ein Tokenpaar zu erhalten. Übergeben Sie dazu den Nutzernamen, das Passwort und einen MFA-Code Ihres Apigee-Kontos. Wenn Sie jedoch einen SAML-IdP verwenden oder Ihr Passwort nicht verwenden möchten, können Sie stattdessen einen Einmalcode-Sicherheitscode anfordern.
So erhältst du einen einmaligen Sicherheitscode:
- Geben Sie die folgende URL in einen Browser ein:
- Für Cloud-Kunden ohne Zone:
https://login.apigee.com/passcode
- Für Cloud-Kunden mit Zone:
https://zone_name.login.apigee.com/passcode
- Private Cloud-Kunden erhalten von ihrem Administrator den entsprechenden SSO-Endpunkt.
- Für Cloud-Kunden ohne Zone:
- Melden Sie sich bei Ihrem Apigee-Konto an.
- Kopieren Sie den sechsstelligen Sicherheitscode.
- Verwenden Sie
acurl
oderget_token
mit der Option-p
und geben Sie den Sicherheitscode wie im folgenden Beispiel weiter:get_token -p 1a2b3c
Tokens ansehen
Wenn Sie acurl
oder get_token
erfolgreich ausführen, erstellen die Dienstprogramme eine Datendatei in ~/.sso-cli
, die die Tokens und andere Metadaten enthält.
Zum Aufrufen der Tokens können Sie einen Befehl wie den folgenden verwenden:
get_token -v
Mit diesem Befehl werden die decodierten Tokenanforderungen angezeigt. Beispiel:
Decoded token claims: { "jti": "8018507e-9f34-4a90-bf97-ff226a06b19b", "sub": "858217a9-01a1-4111-8525-75ca555f5d5c", "scope": [ "scim.emails.read", "scim.me", "openid", "password.write", "approvals.me", "scim.ids.read", "oauth.approvals" ], "client_id": "edgecli", "cid": "edgecli", "azp": "edgecli", "grant_type": "password", "user_id": "858217a9-01a1-4111-8525-75ca555f5d5c", "origin": "usergrid", "user_name": "myusername@google.com", "email": "myusername@google.com", "auth_time": 1597444772, "al": 0, "rev_sig": "6271c527", "iat": 1597444772, "exp": 1597487972, "iss": "https://login.apigee.com", "zid": "uaa", "aud": [ "edgecli", "scim.emails", "scim", "openid", "password", "approvals", "scim.ids", "oauth" ] } Current timestamp: 1597444983 Existing access token is still valid
(1) Copyright 2023 Google LLC
Die Tools acurl
und get_token
werden als „Software“ im Rahmen der Vereinbarung zur Nutzung der Google Cloud Platform zur Verfügung gestellt, einschließlich der dienstspezifischen Nutzungsbedingungen unter https://cloud.google.com/terms/service-terms.