Edge for Private Cloud גרסה 4.17.09
פורטל השירותים למפתחים פועל כלקוח של Apigee Edge. המשמעות היא שהפורטל לא מתפקד כמערכת עצמאית. במקום זאת, רוב המידע שמשמש את הפורטל מאוחסן בפועל ב-Edge. במקרה הצורך, הפורטל שולח בקשה לאחזור מידע מ-Edge או לשליחת מידע ל-Edge.
הפורטל משויך תמיד לארגון Edge אחד. כשמגדירים את הפורטל, אפשר לציין את פרטי הכניסה הבסיסיים לאימות (שם משתמש וסיסמה) לחשבון בארגון שבו הפורטל משתמש כדי לתקשר עם Edge.
אם בוחרים להפעיל SAML לאימות Edge, אפשר להגדיר את הפורטל לשימוש באימות SAML בזמן שליחת בקשות ל-Edge. הגדרת הפורטל לשימוש ב-SAML יוצרת באופן אוטומטי חשבון משתמש חדש במחשב בארגון Edge, שהפורטל משתמש בו כדי לשלוח בקשות ל-Edge. מידע נוסף על משתמשים במכונות זמין במאמר שימוש ב-SAML עם משימות אוטומטיות.
כדי לקבל תמיכה ב-SAML בפורטל, צריך להתקין ולהגדיר את מודול ה-SSO של Edge בצומת של שרת הניהול של Edge. התהליך הכללי להפעלת SAML בפורטל הוא:
- מגדירים את SAML ב-Edge כפי שמתואר במאמר התקנה והגדרה של SAML עבור Edge. הערה: כדי להתקין את הפורטל, עדיין צריך להפעיל את Basic Auth ב-Edge. אין להשבית את התכונה 'אימות בסיסי' ב-Edge לפני שמגדירים בפורטל שימוש ב-SAML.
- התקן את הפורטל וודא שההתקנה פועלת כראוי. למידע נוסף, ראו התקנת Edge לפורטל שירותים פרטיים למפתחים בענן.
- הגדרת SAML בפורטל.
- עכשיו אפשר להשבית את Basic Auth ב-Edge.
יצירת משתמש במכונה לפורטל
כש-SAML מופעל, Edge תומך ביצירה אוטומטית של אסימון OAuth2 באמצעות משתמשי מכונות. משתמש במכונה יכול לקבל אסימוני OAuth2 בלי לציין קוד גישה. המשמעות היא שיש אפשרות אוטומטית לחלוטין של תהליך הקבלה והרענון של אסימוני OAuth2.
בתהליך ההגדרה של SAML בפורטל נוצר באופן אוטומטי משתמש במכונה בארגון שמשויך לפורטל. בשלב הבא הפורטל משתמש בחשבון המשתמש הזה במחשב כדי להתחבר ל-Edge. מידע נוסף על משתמשי מכונות זמין במאמר שימוש ב-SAML עם משימות אוטומטיות.
מידע על אימות בחשבונות פיתוח בפורטל
כשמגדירים בפורטל שימוש ב-SAML, מפעילים את הפורטל לשימוש ב-SAML לצורך אימות ב-Edge, כדי שהפורטל יוכל לשלוח בקשות ל-Edge. עם זאת, בפורטל יש תמיכה גם בסוג משתמשים שנקרא developers.
המפתחים יוצרים את הקהילה של משתמשים שבונים אפליקציות באמצעות ממשקי ה-API שלכם. מפתחי אפליקציות משתמשים בפורטל כדי לקבל מידע על ממשקי ה-API שלך, לרשום אפליקציות שמשתמשות בממשקי ה-API, לקיים אינטראקציה עם קהילת המפתחים ולהציג במרכז בקרה מידע סטטיסטי על השימוש שלהם באפליקציות.
כשמפתח מתחבר לפורטל, הפורטל הוא האחראי לאימות המפתח ולאכיפה של הרשאות הגישה לפי תפקיד. הפורטל ממשיך להשתמש באימות בסיסי עם מפתחים גם אחרי הפעלת SAML בין הפורטל ל-Edge. למידע נוסף, קראו את המאמר תקשורת בין הפורטל לבין Edge.
ניתן גם להגדיר את הפורטל לשימוש ב-SAML כדי לאמת מפתחים. דוגמה להפעלת SAML באמצעות מודולים של Drupal של צד שלישי: https://community.apigee.com/articles/29201/sso-integration-via-saml-with-developer-portal.html.
הגדרת SAML בפורטל כדי לתקשר עם Edge
כדי להגדיר SAML עבור הפורטל, עליכם ליצור קובץ תצורה להגדרת הפורטל:
# IP address of Edge Management Server and apigee-sso node. IP1=22.222.22.222 # URL of Edge management API. MGMT_URL=http://$IP1:8080/v1 # Org associated with the portal. EDGE_ORG=myorg # Information about apigee-sso. # Externally accessible IP or DNS of apigee-sso. SSO_PUBLIC_URL_HOSTNAME=$IP1 SSO_PUBLIC_URL_PORT=9099 # Default is http. Set to https if you enabled TLS on apigee-sso. SSO_PUBLIC_URL_SCHEME=http # SSO admin credentials as set when you installed apigee-sso. SSO_ADMIN_NAME=ssoadmin SSO_ADMIN_SECRET=Secret123 # Default is "n" to disable SAML support. DEVPORTAL_SSO_ENABLED=y # The name of the OAuth client used to connect to apigee-sso. # The default client name is portalcli. PORTALCLI_SSO_CLIENT_NAME=portalcli # Oauth client password using uppercase, lowercase, number, and special chars. PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1 # Email address and user info for the machine user created in # the Edge org specified above by EDGE_ORG. # This account is used by the portal to make requests to Edge. # Add this email as an org admin before configuring the portal to use SAML. DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com DEVPORTAL_ADMIN_FIRSTNAME=DevPortal DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin DEVPORTAL_ADMIN_PWD=Abcdefg@1 # If set, the existing portal OAuth client is deleted and new one is created. # The default value is "n". # Set to "y" when you configure SAML and change the value of # any of the PORTALCLI_* properties. PORTALCLI_SSO_CLIENT_OVERWRITE=y
כדי להפעיל תמיכה ב-SAML בפורטל:
- בממשק המשתמש של Edge, מוסיפים את המשתמש במכונה שצוין על ידי DEVPORTAL_ADMIN_EMAIL לארגון שמשויך לפורטל בתור אדמין ארגוני.
הערה: המשתמש במכונה עדיין לא קיים, אבל הוא נוצר באופן אוטומטי בשלב הבא. - מריצים את הפקודה הבאה כדי להגדיר SAML בפורטל:
> /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configuration-sso -f samlConfigFile
כאשר samlConfigFile הוא קובץ התצורה של SAML. - מתחברים לפורטל בתור אדמין של הפורטל.
- בתפריט הראשי של Drupal, בוחרים באפשרות Configuration > Dev Portal (הגדרה > Dev Portal. מופיע המסך של הגדרת הפורטל, כולל הגדרות ה-SAML:
חשוב לשים לב שהתיבה הארגון הזה מופעל באמצעות SAML מסומנת, נקודת הקצה של מודול ה-SSO של Edge ממולאת, השדות מפתח API וסוד צרכן של לקוח OAuth בפורטל ממולאים, וההודעה החיבור בוצע בהצלחה מופיעה בלחצן בדיקת החיבור.
- אפשר ללחוץ על הלחצן בדיקת החיבור כדי לבדוק מחדש את החיבור בכל שלב.
כדי לשנות את הערכים במועד מאוחר יותר, צריך לעדכן את קובץ התצורה ולהריץ את הפקודה שוב.
השבתת SAML בפורטל
אם בוחרים להשבית את SAML לתקשורת בין הפורטל לבין Edge, הוא לא יוכל יותר לשלוח בקשות ל-Edge. מפתחים יכולים להתחבר לפורטל, אבל לא לראות את המוצר או ליצור אפליקציות.
זהירות: אם משביתים את SAML, צריך להגדיר אותו מחדש כך שישתמש ב-SAML. לחלופין, אם Edge עדיין מוגדר שתומך ב-Basic Auth, צריך להגדיר את הפורטל שיתקשר עם Edge באמצעות Basic Auth. למידע נוסף על השימוש ב-Basic Auth, תוכלו לקרוא את המאמר תקשורת בין הפורטל ל-Edge.
כדי להשבית SAML בפורטל:
- עורכים את קובץ התצורה שבו השתמשתם כדי להגדיר את ה-SAM:
DEVPORTAL_SSO_ENABLED=n - מגדירים את הפורטל:
> /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configuration-sso -f configFile