Edge for Private Cloud Version 4.17.09
In diesem Abschnitt wird beschrieben, wie Sie nach der Aktivierung von SAML die Administratortools und Befehle des Edge-Systems ausführen. Viele Aufgaben in Edge erfordern Anmeldedaten zur Systemadministration, wie zum Beispiel:
- Organisationen und Umgebungen erstellen
- Hinzufügen und Entfernen von Edge-Komponenten
- Befehle von Apigee-adminapi.sh ausführen
- viele andere Aufgaben
Nach der Aktivierung von SAML in Edge deaktivieren Sie in der Regel die Basisauthentifizierung, sodass die einzige Möglichkeit erfolgt die Authentifizierung über den SAML-IdP. Stellen Sie daher sicher, dass Sie das Tag mit Ihrem SAML-IdP.
Aufrufen von Edge-Management-APIs als Systemadministrator
Bei vielen Edge-API-Aufrufen müssen Sie die Anmeldedaten des Systemadministrators übergeben. Das Verwenden von SAML mit der Edge-Verwaltungs-API enthält Anweisungen zum Abrufen und Aktualisieren von Tokens beim Ausführen von Edge-Management-API-Aufrufen.
Apigee-adminapi.sh verwenden mit SAML-Authentifizierung
Verwenden Sie apigee-adminapi.sh um dieselben Edge-Konfigurationsaufgaben auszuführen, die Sie durch Aufrufen an den Edge- Management API Der Vorteil des Dienstprogramms apigee-adminapi.sh ist:
- Einfache Befehlszeile verwenden
- Implementiert tabellarische Befehlsvervollständigung
- Bietet Hilfe und Informationen zur Nutzung
- Kann den entsprechenden API-Aufruf anzeigen, wenn Sie die API ausprobieren möchten
Weitere Informationen finden Sie unter Apigee-ssoadminapi.sh verwenden.
Nachdem Sie die SAML-Authentifizierung aktiviert haben, haben Sie mehrere Möglichkeiten, den Systemadministrator zu übergeben Anmeldedaten für das Dienstprogramm apigee-adminapi.sh.
Sie können alle Optionen für jeden apigee-adminapi.sh-Befehl anzeigen, einschließlich der Optionen für die Angabe von SAML-Anmeldedaten mithilfe von „-h“ Option hinzufügen. Beispiel:
> apigee-adminapi.sh orgs list -h
Sie können beispielsweise die Anmeldedaten des Systemadministrators übergeben:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword
Dabei gilt:
- sso-url gibt die URL an. des Edge-SSO-Moduls. Ändern Sie den Port oder das Protokoll, wenn Sie von 9099 und HTTP
- oauth-flow gibt entweder passcode oder password_grant In diesem Beispiel Geben Sie password_grant an.
- adminEmail ist die E-Mail-Adresse des Systemadministrators.
- oauth-password gibt an: das Passwort des Sys-Admins.
Alternativ können Sie beim Aufrufen des Befehls einen Sicherheitscode verwenden:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode
Dabei gilt:
- oauth-flow gibt an: Sicherheitscode.
- oauth-passcode gibt an: den Sicherheitscode von http://edge_sso_IP_DNS:9099/passcode.
Schließlich können Sie ein Token verwenden, wenn Sie den Befehl aufrufen:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token
Dabei gilt:
- oauth-flow gibt entweder passcode oder password_grant, je nachdem, das Token ursprünglich erhalten hat. In diesem Beispiel geben Sie einen Sicherheitscode an, da Sie den Token mithilfe von get_token. Weitere Informationen finden Sie unter Verwenden von SAML mit der Edge-Verwaltungs-API.
- oauh_token enthält das Token.
Edge-Dienstprogramme mit SAML verwenden Authentifizierung
Viele Edge-Dienstprogramme erfordern Anmeldedaten des Systemadministrators, wie z. B.:
- apigee-provision verwendet, um Organisationen, Umgebungen und virtuelle Hosts erstellen
- setup.sh zum Hinzufügen von Knoten in einem bestehenden System
- Jedes andere Dienstprogramm, bei dem Sie die Anmeldedaten des Systemadministrators in einer Konfiguration angeben müssen Datei
Diese Dienstprogramme nehmen als Eingabe eine Konfigurationsdatei an, in der die Anmeldedaten mithilfe der Attribute:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Wenn Sie das Passwort weglassen, werden Sie aufgefordert, es anzugeben.
Nachdem Sie SAML aktiviert haben, verwenden Sie verschiedene Eigenschaften, um die Anmeldedaten des Systemadministrators anzugeben. Für können Sie beispielsweise die Anmeldedaten des Systemadministrators übergeben:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
Dabei gilt:
- SSO_LOGIN_URL gibt die URL des Edge-SSO-Moduls. Ändern Sie den Port oder das Protokoll, wenn Sie von 9099 und HTTP
- OAUTH_FLOW gibt entweder passcode oder password_grant In diesem Beispiel password_grant angeben, weil Sie übergeben das Passwort des Systemadministrators.
- OAUTH_ADMIN_PASSWORD gibt das Passwort des Sys-Admins an.
Alternativ können Sie die folgenden Attribute verwenden, um die Anmeldedaten als Teil eines Ablauf eines Sicherheitscodes:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
Dabei gilt:
- OAUTH_FLOW gibt an, Sicherheitscode.
- OAUTH_ADMIN_PASSCODE gibt den Sicherheitscode an, der über http://edge_sso_IP_DNS:9099/passcode abgerufen wird.
Schließlich können Sie ein Token
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
Dabei gilt:
- OAUTH_FLOW gibt entweder passcode oder password_grant, je nachdem, das Token ursprünglich erhalten hat. In diesem Beispiel geben Sie einen Sicherheitscode an, da Sie den Token mithilfe von get_token. Weitere Informationen finden Sie unter Verwenden von SAML mit der Edge-Verwaltungs-API.
- OAUTH_BEARER_TOKEN enthält das Token.