此页面由 Cloud Translation API 翻译。

自动生成令牌

<ph type="x-smartling-placeholder"></ph> 您正在查看 Apigee Edge 文档。
转到 Apigee X 文档。信息

将 SAML 与 Edge API 结合使用时，您用来获取 OAuth2 访问权限和来自 SAML 断言的刷新令牌称为密码流。使用密码使用浏览器获取一次性密码，然后使用该密码获取 OAuth2 词元。

不过，您的环境可能支持自动执行常见开发任务，例如测试自动化或持续集成/持续部署 (CI/CD)。为了实现自动化您需要一种方法来获取和刷新 OAuth2 令牌，而无需从浏览器复制/粘贴密码。

关于机器用户

Apigee Edge 可为已启用 SAML 的组织中的机器用户提供支持。机器用户仅用于自动化操作，不会由真人直接访问。

机器用户可以获取 OAuth2 令牌而无需指定密码。这意味着您可以完全自动化使用 Edge API 获取和刷新 OAuth2 令牌。

令牌生成流程自动化步骤

如需自动执行令牌生成过程，请执行以下操作：

步骤	说明
1	在您的 SAML 身份可用区中创建机器用户
2	为 Edge 组织中的机器用户分配所需的角色
3	获取机器用户的 OAuth2 令牌

视频：观看一小段视频，了解如何使用机器用户凭据自动访问 Apigee Edge API。

管理 SAML 身份区域的计算机用户

Apigee 提供机器用户管理命令行界面 (CLI)，用于创建和管理机器用户账号。以下各部分介绍了使用机器用户管理 CLI 的步骤。

使用 CLI

如需使用机器用户管理 CLI，请先下载并解压缩以下文件： usermgmt.tar.gz⁽¹⁾

调用 CLI 的格式如下所示：

usermgmt_platform [command] [flags]

下表汇总了支持的平台以及用于调用机器用户管理 CLI 的相应命令。（可执行文件位于 usermgmt 目录中。）

平台	32 位	64 位
Linux	`usermgmt_linux_386`	`usermgmt_linux_amd64`
Mac	`usermgmt_darwin_386`	`usermgmt_darwin_amd64`
Windows	`usermgmt_windows_386`	`usermgmt_windows_amd64`

下表汇总了可以指定的命令。

命令	更多信息
`create`	在身份可用区中创建机器用户
`delete`	删除身份可用区中的机器用户
`help`	使用 CLI 获取帮助
`list`	列出身份可用区中的所有机器用户
`reset`	重置身份可用区中的机器用户的密码

或者，您可以传递以下标志之一，以显示指定命令的帮助：-h 或 --help

当您在 24 小时内首次运行 CLI 时，系统会提示您输入 zoneadmin 账号凭据。

Enter your Apigee credentials
Username: zoneadmin-username
Password: zoneadmin-password
If your user is opted with MFA, enter MFA code. Otherwise press enter to skip.
MFA: mfa-code_or_enter_to_skip

机器用户管理 CLI 会在本地机器上存储一个访问令牌，因此您每 24 小时内只需登录一次。

使用 CLI 获取帮助

使用 usermgmt_platform help 命令显示 CLI 使用情况信息。如需查看支持的平台列表，请参阅使用 CLI。

usermgmt_platform help

系统会显示以下帮助信息：

A command-line interface (CLI) to manage machine user accounts to automate
Apigee identity zone management. Use the CLI to create, list, delete,
and reset the password for machine users.

Usage:
  usermgmt [flags]
  usermgmt [command]

Available Commands:
  create  Creates a machine users in an identity zone.
  delete  Deletes a machine users in an identity zone.
  help    Help about any command
  list    Lists the machine users in an identity zone.
  reset   Resets the password for a machine user in an identity zone.

Flags:
  -h, --help               help for usermgmt

Use "usermgmt [command] --help" for more information about a command.

通过在命令行中同时传递特定命令和 -h 或 --help 标志来显示特定命令的帮助。

例如，如需获取有关 list 命令的帮助，请使用以下命令：

usermgmt_platform list -h

系统会显示以下帮助信息：

Lists the machine users in an identity zone.

Usage:
  usermgmt list [flags]

Flags:
  -h, --help   help for list

在身份可用区中创建机器用户

使用 usermgmt_platform create 命令在身份可用区中创建机器用户。如需查看支持的平台列表，请参阅使用 CLI。

输入以下命令：
```
usermgmt_platform create
```
系统会显示身份地区列表：
```
myzone1
myzone2
```
在提示符后输入区域名称：
```
Enter a zone name: myzone1
```
输入机器用户的用户名：
注意：用户名必须是电子邮件地址：
- 使用的域名与 zoneadmin 账号的域名相匹配创建机器用户
- 全部包含小写字母
。
```
Create a Machine User
Username: machineuser1@mycompany.com
```

为机器用户输入密码。出现提示时，重新输入密码。

Password: password
Re-enter password: password

已创建用户。

Created machine user machineuser1@mycompany.com

列出身份可用区中的所有机器用户

使用 usermgmt_platform list 命令列出身份可用区中的所有机器用户。如需查看支持的平台列表，请参阅使用 CLI。

输入以下命令：
```
usermgmt_platform list
```
系统会显示身份地区列表：
```
myzone1
myzone2
```
在提示符后输入区域名称：
```
Enter a zone name: myzone1
```
系统会显示身份可用区中的机器用户列表：
```
Machine users in the zone:
machineuser1@mycompany.com
    
```

重置身份可用区中的机器用户的密码

使用 usermgmt_platform reset 命令重置身份可用区中计算机用户的密码。如需查看支持的平台列表，请参阅使用 CLI。

输入以下命令：
```
usermgmt_platform reset
```
系统会显示身份地区列表：
```
myzone1
myzone2
```
在提示符后输入区域名称：
```
Enter a zone name: myzone1
```

输入要为其重置密码的机器用户的用户名：

Reset User Password
Enter the username for the machine user
Username: machineuser1@mycompany.com

为机器用户输入新密码。出现提示时，重新输入密码。

Enter the new password: password
Re-enter password: password

密码已重置。

Reset password for machine user machineuser1@mycompany.com

删除身份可用区中的机器用户

使用 usermgmt_platform delete 命令在身份可用区中删除机器用户。如需查看支持的平台列表，请参阅使用 CLI。

输入以下命令：
```
usermgmt_platform delete
```
系统会显示身份地区列表：
```
myzone1
myzone2
```
在提示符后输入区域名称：
```
Enter a zone name: myzone1
```

输入要删除的机器用户的用户名：

Delete User
Enter the username for the machine user
Username: machineuser1@mycompany.com

机器用户已被删除。

Deleted user machineuser1@mycompany.com

为 Edge 组织中的机器用户分配所需的角色

通过界面，将机器用户添加到已启用 SAML 的 Edge 组织，并为其分配所需的角色（例如组织管理员）。如添加用户中所述。

获取机器用户的 OAuth2 令牌

您可以使用 acurl⁽¹⁾ 和 get_token⁽¹⁾ 实用程序，如中所述针对计算机用户的 OAuth2 和 SAML 可用区中的计算机用户。

如需使用 curl 手动获取机器用户的 OAuth2 令牌，请执行以下操作：

使用您偏好的网址编码工具对机器用户的用户名和密码进行编码。
警告：请使用内部网址编码工具来确保确保机器用户凭据不会泄露

通过调用 SAML 令牌端点生成初始访问和刷新令牌，如以下示例所示：

curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \
  -H "accept: application/json;charset=utf-8" \
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \
  https://zoneName.login.apigee.com/oauth/token -s \
  -d 'grant_type=password&username=machineusername&password=machineuserpassword'

如需授权，请将预留的 OAuth2 客户端凭据 ZWRnZWNsaTplZGdlY2xpc2VjcmV0 Authorization 标头。此调用会将访问令牌和刷新令牌输出到 stdout。

将访问令牌作为 Bearer 标头传递给 Edge Management API 调用：

curl -H "Authorization: Bearer ACCESS_TOKEN" \
  https://api.enterprise.apigee.com/v1/organizations/orgName

访问令牌过期后，您可以将刷新令牌发送到 SAML，从而刷新该令牌令牌端点，如以下示例所示：

curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \
  -H "Accept: application/json;charset=utf-8" \
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \
  https://zoneName.login.apigee.com/oauth/token \
  -d 'grant_type=refresh_token&refresh_token=REFRESH_TOKEN'