自动生成令牌

<ph type="x-smartling-placeholder"></ph> 您正在查看 Apigee Edge 文档。
转到 Apigee X 文档
信息

将 SAML 与 Edge API 结合使用时,您用来获取 OAuth2 访问权限和 来自 SAML 断言的刷新令牌称为密码流。使用密码 使用浏览器获取一次性密码,然后使用该密码获取 OAuth2 词元。

不过,您的环境可能支持自动执行常见开发任务, 例如测试自动化或持续集成/持续部署 (CI/CD)。为了实现自动化 您需要一种方法来获取和刷新 OAuth2 令牌,而无需 从浏览器复制/粘贴密码。

关于机器用户

Apigee Edge 可为已启用 SAML 的组织中的机器用户提供支持。机器用户仅用于自动化操作,不会由真人直接访问。

机器用户可以获取 OAuth2 令牌 而无需指定密码。这意味着您可以完全自动化 使用 Edge API 获取和刷新 OAuth2 令牌。

令牌生成流程自动化步骤

如需自动执行令牌生成过程,请执行以下操作:

步骤 说明
1 在您的 SAML 身份可用区中创建机器用户
2 为 Edge 组织中的机器用户分配所需的角色
3 获取机器用户的 OAuth2 令牌

视频:观看一小段视频,了解如何使用机器用户凭据自动访问 Apigee Edge API。

管理 SAML 身份区域的计算机用户

Apigee 提供机器用户管理命令行界面 (CLI),用于创建和管理机器用户账号。 以下各部分介绍了使用机器用户管理 CLI 的步骤。

使用 CLI

如需使用机器用户管理 CLI,请先下载并解压缩以下文件: usermgmt.tar.gz(1)

调用 CLI 的格式如下所示:

usermgmt_platform [command] [flags]

下表汇总了支持的平台以及用于调用机器用户管理 CLI 的相应命令。 (可执行文件位于 usermgmt 目录中。)

平台 32 位 64 位
Linux usermgmt_linux_386 usermgmt_linux_amd64
Mac usermgmt_darwin_386 usermgmt_darwin_amd64
Windows usermgmt_windows_386 usermgmt_windows_amd64

下表汇总了可以指定的命令

命令 更多信息
create 在身份可用区中创建机器用户
delete 删除身份可用区中的机器用户
help 使用 CLI 获取帮助
list 列出身份可用区中的所有机器用户
reset 重置身份可用区中的机器用户的密码

或者,您可以传递以下标志之一,以显示指定命令的帮助:-h--help

登录 CLI

当您在 24 小时内首次运行 CLI 时,系统会提示您输入 zoneadmin 账号凭据。

Enter your Apigee credentials
Username: zoneadmin-username
Password: zoneadmin-password
If your user is opted with MFA, enter MFA code. Otherwise press enter to skip.
MFA: mfa-code_or_enter_to_skip

机器用户管理 CLI 会在本地机器上存储一个访问令牌,因此您每 24 小时内只需登录一次。

使用 CLI 获取帮助

使用 usermgmt_platform help 命令显示 CLI 使用情况信息。如需查看支持的平台列表,请参阅使用 CLI

usermgmt_platform help

系统会显示以下帮助信息:

A command-line interface (CLI) to manage machine user accounts to automate
Apigee identity zone management. Use the CLI to create, list, delete,
and reset the password for machine users.

Usage:
  usermgmt [flags]
  usermgmt [command]

Available Commands:
  create  Creates a machine users in an identity zone.
  delete  Deletes a machine users in an identity zone.
  help    Help about any command
  list    Lists the machine users in an identity zone.
  reset   Resets the password for a machine user in an identity zone.

Flags:
  -h, --help               help for usermgmt

Use "usermgmt [command] --help" for more information about a command.

通过在命令行中同时传递特定命令和 -h--help 标志来显示特定命令的帮助。

例如,如需获取有关 list 命令的帮助,请使用以下命令:

usermgmt_platform list -h

系统会显示以下帮助信息:

Lists the machine users in an identity zone.

Usage:
  usermgmt list [flags]

Flags:
  -h, --help   help for list

在身份可用区中创建机器用户

使用 usermgmt_platform create 命令在身份可用区中创建机器用户。 如需查看支持的平台列表,请参阅使用 CLI

  1. 输入以下命令:
    usermgmt_platform create

    系统会显示身份地区列表:

    myzone1
    myzone2
  2. 在提示符后输入区域名称:
    Enter a zone name: myzone1
  3. 输入机器用户的用户名:
    Create a Machine User
    Username: machineuser1@mycompany.com
  4. 为机器用户输入密码。出现提示时,重新输入密码。
    Password: password
    Re-enter password: password 

    已创建用户。

    Created machine user machineuser1@mycompany.com

列出身份可用区中的所有机器用户

使用 usermgmt_platform list 命令列出身份可用区中的所有机器用户。如需查看支持的平台列表,请参阅使用 CLI

  1. 输入以下命令:
    usermgmt_platform list
    系统会显示身份地区列表:
    myzone1
    myzone2
  2. 在提示符后输入区域名称:
    Enter a zone name: myzone1

    系统会显示身份可用区中的机器用户列表:

    Machine users in the zone:
    machineuser1@mycompany.com
        

重置身份可用区中的机器用户的密码

使用 usermgmt_platform reset 命令重置身份可用区中计算机用户的密码。如需查看支持的平台列表,请参阅使用 CLI

  1. 输入以下命令:
    usermgmt_platform reset

    系统会显示身份地区列表:

    myzone1
    myzone2
  2. 在提示符后输入区域名称:
    Enter a zone name: myzone1
  3. 输入要为其重置密码的机器用户的用户名:
    Reset User Password
    Enter the username for the machine user
    Username: machineuser1@mycompany.com
  4. 为机器用户输入新密码。出现提示时,重新输入密码。
    Enter the new password: password
    Re-enter password: password

    密码已重置。

    Reset password for machine user machineuser1@mycompany.com

删除身份可用区中的机器用户

使用 usermgmt_platform delete 命令在身份可用区中删除机器用户。如需查看支持的平台列表,请参阅使用 CLI

  1. 输入以下命令:
    usermgmt_platform delete
    系统会显示身份地区列表:
    myzone1
    myzone2
  2. 在提示符后输入区域名称:
    Enter a zone name: myzone1
  3. 输入要删除的机器用户的用户名:
    Delete User
    Enter the username for the machine user
    Username: machineuser1@mycompany.com 

    机器用户已被删除。

    Deleted user machineuser1@mycompany.com

为 Edge 组织中的机器用户分配所需的角色

通过界面,将机器用户添加到已启用 SAML 的 Edge 组织,并为其分配所需的角色(例如组织管理员)。 如添加用户中所述。

获取机器用户的 OAuth2 令牌

您可以使用 acurl(1)get_token(1) 实用程序,如中所述 针对计算机用户的 OAuth2SAML 可用区中的计算机用户

如需使用 curl 手动获取机器用户的 OAuth2 令牌,请执行以下操作:

  1. 使用您偏好的网址编码工具对机器用户的用户名和密码进行编码。

    警告:请使用内部网址编码工具来确保 确保机器用户凭据不会泄露

  2. 通过调用 SAML 令牌端点生成初始访问和刷新令牌,如以下示例所示:
    curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \
      -H "accept: application/json;charset=utf-8" \
      -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \
      https://zoneName.login.apigee.com/oauth/token -s \
      -d 'grant_type=password&username=machineusername&password=machineuserpassword'

    如需授权,请将预留的 OAuth2 客户端凭据 ZWRnZWNsaTplZGdlY2xpc2VjcmV0 Authorization 标头。此调用会将访问令牌和刷新令牌输出到 stdout

  3. 将访问令牌作为 Bearer 标头传递给 Edge Management API 调用:
    curl -H "Authorization: Bearer ACCESS_TOKEN" \
      https://api.enterprise.apigee.com/v1/organizations/orgName
  4. 访问令牌过期后,您可以将刷新令牌发送到 SAML,从而刷新该令牌 令牌端点,如以下示例所示:
    curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \
      -H "Accept: application/json;charset=utf-8" \
      -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \
      https://zoneName.login.apigee.com/oauth/token \
      -d 'grant_type=refresh_token&refresh_token=REFRESH_TOKEN'

(1) 版权所有 2023 Google LLC
usermgmtacurlget_token 工具以“软件”的形式提供下方 您使用 Google Cloud Platform 时须遵守的协议, 如需查看具体条款,请访问 https://cloud.google.com/terms/service-terms