Edge for Private Cloud Version 4.17.09
In diesem Abschnitt wird beschrieben, wie Sie Edge-Systemverwaltungstools und ‑befehle ausführen, nachdem Sie SAML aktiviert haben. Für viele Aufgaben in Edge sind Anmeldedaten für die Systemverwaltung erforderlich, z. B.:
- Organisationen und Umgebungen erstellen
- Edge-Komponenten hinzufügen und entfernen
- apigee-adminapi.sh-Befehle ausführen
- und viele weitere Aufgaben
Nachdem Sie SAML in Edge aktiviert haben, deaktivieren Sie jedoch in der Regel die Basisauthentifizierung, sodass die Authentifizierung nur über den SAML-IdP erfolgen kann. Achten Sie daher darauf, dass Sie das Systemadministratorkonto Ihrem SAML-IdP hinzugefügt haben.
Edge-Verwaltungs-APIs als Systemadministrator aufrufen
Für viele Edge API-Aufrufe müssen Sie Anmeldedaten für Systemadministratoren angeben. Die Verwendung von SAML mit der Edge-Verwaltungs-API enthält Anweisungen zum Abrufen und Aktualisieren von Tokens, wenn Edge-Management-API-Aufrufe getätigt werden.
Dienstprogramm apigee-adminapi.sh mit SAML-Authentifizierung verwenden
Verwenden Sie das Dienstprogramm apigee-adminapi.sh, um die gleichen Edge-Konfigurationsaufgaben auszuführen, die Sie durch Aufrufen der Edge-Verwaltungs-API ausführen. Das Dienstprogramm apigee-adminapi.sh bietet folgende Vorteile:
- Einfache Befehlszeile verwenden
- Tab-basierte Befehlsvervollständigung implementiert
- Hilfe- und Nutzungsinformationen bereitstellen
- Kann den entsprechenden API-Aufruf anzeigen, wenn Sie die API ausprobieren möchten
Weitere Informationen finden Sie unter apigee-ssoadminapi.sh verwenden.
Nachdem Sie die SAML-Authentifizierung aktiviert haben, haben Sie mehrere Möglichkeiten, die Anmeldedaten des Systemadministrators an das Dienstprogramm apigee-adminapi.sh zu übergeben.
Wenn Sie alle Optionen für einen apigee-adminapi.sh-Befehl sehen möchten, einschließlich der Optionen zum Angeben von SAML-Anmeldedaten, verwenden Sie die Option „-h“. Beispiel:
> apigee-adminapi.sh orgs list -h
Sie können beispielsweise die Anmeldedaten des Systemadministrators übergeben:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword
Dabei gilt:
- Mit sso-url wird die URL des Edge SSO-Moduls angegeben. Ändern Sie den Port oder das Protokoll, falls Sie sie von 9099 und HTTP geändert haben.
- Für oauth-flow wird entweder passcode oder password_grant angegeben. In diesem Beispiel geben Sie password_grant an.
- adminEmail ist die E-Mail-Adresse des Systemadministrators.
- oauth-password gibt das Passwort des Systemadministrators an.
Alternativ können Sie beim Aufrufen des Befehls einen Sicherheitscode verwenden:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode
Dabei gilt:
- oauth-flow gibt passcode an.
- oauth-passcode gibt den Sicherheitscode an, der von http://edge_sso_IP_DNS:9099/passcode abgerufen wurde.
Schließlich können Sie beim Aufrufen des Befehls ein Token verwenden:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token
Dabei gilt:
- Für oauth-flow wird entweder passcode oder password_grant angegeben, je nachdem, wie Sie das Token ursprünglich erhalten haben. In diesem Beispiel geben Sie passcode an, da Sie das Token ursprünglich mit get_token erhalten haben. Siehe Verwenden von SAML mit der Edge Management API.
- oauh_token enthält das Token.
Edge-Dienstprogramme mit SAML-Authentifizierung verwenden
Viele Edge-Dienstprogramme erfordern Anmeldedaten des Systemadministrators, wie z. B.:
- apigee-provision zum Erstellen von Organisationen, Umgebungen und virtuellen Hosts
- setup.sh zum Hinzufügen von Knoten zu einem vorhandenen System
- Jedes andere Dienstprogramm, bei dem Sie die Anmeldedaten des Systemadministrators in einer Konfigurationsdatei angeben müssen
Diese Dienstprogramme nehmen eine Konfigurationsdatei als Eingabe an, in der die Anmeldedaten des Systemadministrators mithilfe der folgenden Eigenschaften angegeben werden:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Wenn Sie das Passwort weglassen, werden Sie dazu aufgefordert.
Nachdem Sie SAML aktiviert haben, verwenden Sie verschiedene Properties, um die Anmeldedaten des Systemadministrators anzugeben. Sie können beispielsweise die Anmeldedaten des Systemadministrators übergeben:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
Dabei gilt:
- SSO_LOGIN_URL gibt die URL des Edge SSO-Moduls an. Ändern Sie den Port oder das Protokoll, falls Sie sie von 9099 und HTTP geändert haben.
- Für OAUTH_FLOW wird entweder passcode oder password_grant angegeben. In diesem Beispiel geben Sie password_grant an, weil Sie das Passwort des Sysadmin-Administrators übergeben.
- OAUTH_ADMIN_PASSWORD gibt das Passwort des Systemadministrators an.
Alternativ können Sie die Anmeldedaten auch mithilfe der folgenden Properties als Teil eines Sicherheitscode-Ablaufs angeben:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
Dabei gilt:
- OAUTH_FLOW gibt passcode an.
- OAUTH_ADMIN_PASSCODE: Gibt den Sicherheitscode an, der von http://edge_sso_IP_DNS:9099/passcode abgerufen wurde.
Schließlich können Sie ein Token
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
Dabei gilt:
- OAUTH_FLOW gibt entweder Sicherheitscode oder password_grant an, je nachdem, wie Sie das Token ursprünglich erhalten haben. In diesem Beispiel geben Sie passcode an, da Sie das Token ursprünglich mit get_token abgerufen haben. Siehe Verwenden von SAML mit der Edge Management API.
- OAUTH_BEARER_TOKEN enthält das Token.