คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล
เมื่อใช้ SAML กับ Edge API กระบวนการที่คุณใช้เพื่อรับสิทธิ์เข้าถึง OAuth2 และโทเค็นการรีเฟรชจากการยืนยัน SAML เรียกว่าขั้นตอนรหัสผ่าน ขั้นตอนรหัสผ่านคือการใช้เบราว์เซอร์เพื่อรับรหัสผ่านแบบใช้งานครั้งเดียว จากนั้นใช้เพื่อรับโทเค็น OAuth2
อย่างไรก็ตาม สภาพแวดล้อมของคุณอาจรองรับการทำงานอัตโนมัติสำหรับงานการพัฒนาทั่วไป เช่น การทำงานอัตโนมัติสำหรับการทดสอบ หรือการผสานรวมอย่างต่อเนื่อง/การติดตั้งใช้งานอย่างต่อเนื่อง (CI/CD) หากต้องการให้งานเหล่านี้ทำงานโดยอัตโนมัติเมื่อเปิดใช้ SAML คุณต้องหาวิธีรับและรีเฟรชโทเค็น OAuth2 โดยไม่ต้องคัดลอก/วางรหัสผ่านจากเบราว์เซอร์
เกี่ยวกับผู้ใช้เครื่อง
Apigee Edge รองรับผู้ใช้เครื่องในองค์กรที่เปิดใช้ SAML ผู้ใช้เครื่องมีไว้เพื่อการทำงานอัตโนมัติเท่านั้น และมนุษย์จะเข้าถึงโดยตรงไม่ได้
ผู้ใช้เครื่องสามารถรับโทเค็น OAuth2 ได้โดยไม่ต้องระบุรหัสผ่าน ซึ่งหมายความว่าคุณจะทำให้กระบวนการรับและรีเฟรชโทเค็น OAuth2 เป็นแบบอัตโนมัติโดยสมบูรณ์ได้โดยใช้ Edge API
ขั้นตอนในการทำให้กระบวนการสร้างโทเค็นเป็นแบบอัตโนมัติ
หากต้องการให้กระบวนการสร้างโทเค็นเป็นแบบอัตโนมัติ ให้ทำดังนี้
ขั้นตอน | คำอธิบาย |
---|---|
1 | สร้างผู้ใช้เครื่องในโซนข้อมูลประจำตัว SAML |
2 | กำหนดบทบาทที่จำเป็นให้กับผู้ใช้เครื่องในองค์กร Edge |
3 | รับโทเค็น OAuth2 ของผู้ใช้เครื่อง |
วิดีโอ: ดูวิดีโอสั้นๆ เพื่อดูวิธีเข้าถึง Apigee Edge API โดยอัตโนมัติโดยใช้ข้อมูลเข้าสู่ระบบของผู้ใช้เครื่อง
จัดการผู้ใช้เครื่องสำหรับโซนข้อมูลประจำตัว SAML
Apigee คืออินเทอร์เฟซบรรทัดคำสั่ง (CLI) ของการจัดการผู้ใช้ของเครื่องสำหรับสร้างและจัดการบัญชีผู้ใช้ของเครื่อง โปรดดูคำอธิบายขั้นตอนการใช้ CLI สำหรับการจัดการผู้ใช้ของเครื่องในส่วนต่อไปนี้
ใช้ CLI
หากต้องการใช้ CLI การจัดการผู้ใช้ของเครื่อง ให้ดาวน์โหลดและยกเลิกไฟล์ต่อไปนี้ก่อน
usermgmt.tar.gz
(1)
รูปแบบสำหรับการเรียก CLI มีดังนี้
usermgmt_platform [command] [flags]
ตารางต่อไปนี้สรุปแพลตฟอร์มที่รองรับและคำสั่งที่เกี่ยวข้องสำหรับเรียกใช้ CLI การจัดการผู้ใช้เครื่อง
(ไฟล์สั่งการจะอยู่ในไดเรกทอรี usermgmt
)
แพลตฟอร์ม | 32 บิต | 64 บิต |
---|---|---|
Linux | usermgmt_linux_386 |
usermgmt_linux_amd64 |
Mac | usermgmt_darwin_386 |
usermgmt_darwin_amd64 |
Windows | usermgmt_windows_386 |
usermgmt_windows_amd64 |
ตารางต่อไปนี้จะสรุปคำสั่งที่ระบุได้
คำสั่ง | ข้อมูลเพิ่มเติม |
---|---|
create
|
สร้างผู้ใช้เครื่องในโซนข้อมูลระบุตัวตน |
delete
|
ลบผู้ใช้เครื่องในโซนข้อมูลระบุตัวตน |
help
|
รับความช่วยเหลือโดยใช้ CLI |
list
|
ระบุผู้ใช้เครื่องทั้งหมดในโซนข้อมูลระบุตัวตน |
reset
|
รีเซ็ตรหัสผ่านสำหรับผู้ใช้เครื่องในโซนข้อมูลระบุตัวตน |
(ไม่บังคับ) คุณสามารถส่งแฟล็กรายการใดรายการหนึ่งต่อไปนี้เพื่อแสดงความช่วยเหลือตามคำสั่งที่ระบุ: -h หรือ --help
ลงชื่อเข้าใช้ CLI
เมื่อเรียกใช้ CLI เป็นครั้งแรกภายใน 24 ชั่วโมง ระบบจะขอให้คุณป้อนข้อมูลเข้าสู่ระบบของบัญชี zoneadmin
Enter your Apigee credentials
Username: zoneadmin-username
Password: zoneadmin-password
If your user is opted with MFA, enter MFA code. Otherwise press enter to skip.
MFA: mfa-code_or_enter_to_skip
CLI การจัดการผู้ใช้ของเครื่องจะจัดเก็บโทเค็นเพื่อการเข้าถึงในเครื่องของคุณ เพื่อที่คุณจะได้ลงชื่อเข้าใช้เพียงครั้งเดียวในรอบ 24 ชั่วโมง
รับความช่วยเหลือโดยใช้ CLI
แสดงข้อมูลการใช้งาน CLI โดยใช้คำสั่ง usermgmt_platform help โปรดดูรายชื่อแพลตฟอร์มที่รองรับได้ที่ใช้ CLI
usermgmt_platform help
ข้อมูลความช่วยเหลือต่อไปนี้จะปรากฏขึ้น
A command-line interface (CLI) to manage machine user accounts to automate
Apigee identity zone management. Use the CLI to create, list, delete,
and reset the password for machine users.
Usage:
usermgmt [flags]
usermgmt [command]
Available Commands:
create Creates a machine users in an identity zone.
delete Deletes a machine users in an identity zone.
help Help about any command
list Lists the machine users in an identity zone.
reset Resets the password for a machine user in an identity zone.
Flags:
-h, --help help for usermgmt
Use "usermgmt [command] --help" for more information about a command.
แสดงความช่วยเหลือเกี่ยวกับคำสั่งเฉพาะโดยการส่งทั้งคำสั่งและแฟล็ก -h หรือ --help ในบรรทัดคำสั่ง
เช่น หากต้องการความช่วยเหลือเกี่ยวกับคำสั่งรายการ ให้ทำดังนี้
usermgmt_platform list -h
ข้อมูลความช่วยเหลือต่อไปนี้จะปรากฏขึ้น
Lists the machine users in an identity zone.
Usage:
usermgmt list [flags]
Flags:
-h, --help help for list
สร้างผู้ใช้เครื่องในโซนข้อมูลระบุตัวตน
สร้างผู้ใช้เครื่องในโซนข้อมูลประจำตัวโดยใช้คำสั่ง usermgmt_platform create โปรดดูรายชื่อแพลตฟอร์มที่รองรับได้ที่ใช้ CLI
- ป้อนคำสั่งต่อไปนี้
usermgmt_platform create
รายการโซนการระบุตัวตนจะปรากฏขึ้นดังนี้
myzone1 myzone2
- ป้อนชื่อโซนในข้อความแจ้ง:
Enter a zone name: myzone1
- ป้อนชื่อผู้ใช้สำหรับผู้ใช้เครื่อง:
Create a Machine User Username: machineuser1@mycompany.com
- ป้อนรหัสผ่านสำหรับผู้ใช้เครื่อง ป้อนรหัสผ่านอีกครั้งเมื่อได้รับข้อความแจ้ง
Password: password Re-enter password: password
สร้างผู้ใช้แล้ว
Created machine user machineuser1@mycompany.com
แสดงรายการผู้ใช้เครื่องทั้งหมดในโซนข้อมูลระบุตัวตน
แสดงรายการผู้ใช้เครื่องทั้งหมดในโซนข้อมูลระบุตัวตนโดยใช้คำสั่ง usermgmt_platform list โปรดดูรายชื่อแพลตฟอร์มที่รองรับได้ที่ใช้ CLI
- ป้อนคำสั่งต่อไปนี้
รายการโซนข้อมูลระบุตัวตนจะปรากฏขึ้นusermgmt_platform list
myzone1 myzone2
- ป้อนชื่อโซนในข้อความแจ้ง:
Enter a zone name: myzone1
รายชื่อผู้ใช้เครื่องในโซนข้อมูลระบุตัวตนจะปรากฏขึ้นดังนี้
Machine users in the zone: machineuser1@mycompany.com
รีเซ็ตรหัสผ่านสำหรับผู้ใช้เครื่องในโซนข้อมูลระบุตัวตน
รีเซ็ตรหัสผ่านสำหรับผู้ใช้เครื่องในโซนข้อมูลระบุตัวตนโดยใช้คำสั่ง usermgmt_platformreset โปรดดูรายชื่อแพลตฟอร์มที่รองรับได้ที่ใช้ CLI
- ป้อนคำสั่งต่อไปนี้
usermgmt_platform reset
รายการโซนการระบุตัวตนจะปรากฏขึ้นดังนี้
myzone1 myzone2
- ป้อนชื่อโซนในข้อความแจ้ง:
Enter a zone name: myzone1
- ป้อนชื่อผู้ใช้ของผู้ใช้เครื่องที่คุณต้องการรีเซ็ตรหัสผ่าน:
Reset User Password Enter the username for the machine user Username: machineuser1@mycompany.com
- ป้อนรหัสผ่านใหม่สำหรับผู้ใช้เครื่อง ป้อนรหัสผ่านอีกครั้งเมื่อได้รับข้อความแจ้ง
Enter the new password: password Re-enter password: password
ระบบจะรีเซ็ตรหัสผ่าน
Reset password for machine user machineuser1@mycompany.com
ลบผู้ใช้เครื่องในโซนข้อมูลระบุตัวตน
ลบผู้ใช้เครื่องในโซนข้อมูลประจำตัวโดยใช้คำสั่ง usermgmt_platformdelete โปรดดูรายชื่อแพลตฟอร์มที่รองรับได้ที่ใช้ CLI
- ป้อนคำสั่งต่อไปนี้
รายการโซนข้อมูลระบุตัวตนจะปรากฏขึ้นusermgmt_platform delete
myzone1 myzone2
- ป้อนชื่อโซนในข้อความแจ้ง:
Enter a zone name: myzone1
- ป้อนชื่อผู้ใช้ของผู้ใช้เครื่องที่คุณต้องการลบ:
Delete User Enter the username for the machine user Username: machineuser1@mycompany.com
ระบบจะลบผู้ใช้เครื่อง
Deleted user machineuser1@mycompany.com
กำหนดบทบาทที่จำเป็นให้กับผู้ใช้เครื่องในองค์กร Edge
เมื่อใช้ UI ให้เพิ่มผู้ใช้เครื่องในองค์กร Edge ที่เปิดใช้ SAML และมอบหมายบทบาทที่จำเป็น (เช่น ผู้ดูแลระบบขององค์กร) ตามที่อธิบายไว้ในการเพิ่มผู้ใช้
รับโทเค็น OAuth2 ของผู้ใช้เครื่อง
คุณจะทำให้กระบวนการสร้างโทเค็นเป็นแบบอัตโนมัติและจัดการการแคชโทเค็นสำหรับผู้ใช้เครื่องได้ด้วยยูทิลิตี acurl
(1) และ get_token
(1) ตามที่อธิบายไว้ใน
OAuth2 สำหรับผู้ใช้เครื่องและผู้ใช้เครื่องในโซน SAML
วิธีรับโทเค็น OAuth2 ของผู้ใช้เครื่องด้วยตนเองด้วย curl
- ใช้เครื่องมือเข้ารหัส URL ที่ต้องการเพื่อเข้ารหัสชื่อผู้ใช้และรหัสผ่านของผู้ใช้เครื่อง
คำเตือน: ใช้เครื่องมือเข้ารหัส URL
ภายใน เพื่อให้แน่ใจว่าข้อมูลเข้าสู่ระบบของผู้ใช้เครื่องจะไม่ถูกบุกรุก - สร้างโทเค็นเพื่อการเข้าถึงและรีเฟรชเริ่มต้นโดยเรียกใช้ปลายทางของโทเค็น SAML ตามตัวอย่างต่อไปนี้
curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \ -H "accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ https://zoneName.login.apigee.com/oauth/token -s \ -d 'grant_type=password&username=machineusername&password=machineuserpassword'
สำหรับการให้สิทธิ์ ให้ส่งข้อมูลเข้าสู่ระบบไคลเอ็นต์ OAuth2 ที่จองไว้
ZWRnZWNsaTplZGdlY2xpc2VjcmV0
ในส่วนหัวAuthorization
การโทรจะพิมพ์โทเค็นเพื่อการเข้าถึงและรีเฟรชไปยังstdout
- ส่งโทเค็นเพื่อการเข้าถึงไปยังการเรียก Edge Management API เป็นส่วนหัวสำหรับผู้ถือ:
curl -H "Authorization: Bearer ACCESS_TOKEN" \ https://api.enterprise.apigee.com/v1/organizations/orgName
- เมื่อโทเค็นเพื่อการเข้าถึงหมดอายุ คุณสามารถรีเฟรชโทเค็นดังกล่าวได้โดยส่งโทเค็นการรีเฟรชไปยังปลายทางของโทเค็น SAML ตามตัวอย่างต่อไปนี้
curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \ -H "Accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ https://zoneName.login.apigee.com/oauth/token \ -d 'grant_type=refresh_token&refresh_token=REFRESH_TOKEN'
(1) Copyright 2023 Google LLC
เครื่องมือ usermgmt
, acurl
และ get_token
พร้อมให้ใช้งานเป็น "ซอฟต์แวร์" ภายใต้ข้อตกลงที่ควบคุมการใช้งาน Google Cloud Platform ของคุณ รวมถึงข้อกำหนดเฉพาะของบริการซึ่งระบุไว้ที่ https://cloud.google.com/terms/service-terms