Edge pour Private Cloud version 4.17.09
Cette section explique comment exécuter les outils et les commandes d'administration système Edge après avoir activé SAML. De nombreuses tâches exécutées sur Edge nécessitent des informations d'identification d'administrateur système, telles que:
- Créer des organisations et des environnements
- Ajouter et supprimer des composants Edge
- Exécuter des commandes apigee-adminapi.sh
- de nombreuses autres tâches ;
Cependant, après avoir activé SAML sur Edge, vous désactivez généralement l'authentification de base de sorte que le seul moyen de vous authentifier soit via l'IdP SAML. Par conséquent, vous devez vous assurer d'avoir ajouté le compte d'administrateur système à votre IdP SAML.
Appeler des API de gestion Edge en tant qu'administrateur système
De nombreux appels d'API Edge nécessitent de transmettre des identifiants d'administrateur système. L'article Utiliser SAML avec l'API de gestion Edge contient des instructions sur la manière d'obtenir et d'actualiser des jetons lors des appels à l'API de gestion Edge.
Utilisation de l'utilitaire apigee-adminapi.sh avec l'authentification SAML
Utilisez l'utilitaire apigee-adminapi.sh pour effectuer les mêmes tâches de configuration Edge que celles que vous effectuez en effectuant des appels à l'API de gestion Edge. L'utilitaire apigee-adminapi.sh présente les avantages suivants:
- Utiliser une interface de ligne de commande simple
- Implémente la saisie semi-automatique des commandes par tabulation
- Fournit des informations d'aide et d'utilisation
- Peut afficher l'appel d'API correspondant si vous décidez d'essayer l'API
Pour en savoir plus, consultez la section Utiliser apigee-ssoadminapi.sh.
Une fois l'authentification SAML activée, vous pouvez transmettre les identifiants de l'administrateur système à l'utilitaire apigee-adminapi.sh de plusieurs manières.
Vous pouvez afficher toutes les options de n'importe quelle commande apigee-adminapi.sh, y compris les options de spécification des identifiants SAML, en utilisant l'option "-h" de la commande. Exemple :
> apigee-adminapi.sh orgs list -h
Par exemple, vous pouvez transmettre les identifiants de l'administrateur système:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword
où :
- sso-url spécifie l'URL du module SSO Edge. Modifiez le port ou le protocole si vous avez changé les valeurs d'adresses IP 9099 et HTTP.
- oauth-flow spécifie passcode ou password_grant. Dans cet exemple, vous spécifiez password_grant.
- adminEmail est l'adresse e-mail de l'administrateur système.
- oauth-password spécifie le mot de passe de l'administrateur système.
Vous pouvez également utiliser un code secret lorsque vous appelez la commande:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode
où :
- oauth-flow spécifie le code secret.
- oauth-passcode spécifie le code secret obtenu à l'adresse http://edge_sso_IP_DNS:9099/passcode.
Enfin, vous pouvez utiliser un jeton lorsque vous appelez la commande:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token
où :
- oauth-flow spécifie passcode ou password_grant, selon la façon dont vous avez initialement obtenu le jeton. Dans cet exemple, vous spécifiez code secret, car vous avez initialement obtenu le jeton à l'aide de get_token. Consultez la section Utiliser SAML avec l'API de gestion Edge.
- oauh_token contient le jeton.
Utiliser les utilitaires Edge avec l'authentification SAML
De nombreuses utilitaires Edge nécessitent des identifiants d'administrateur système, par exemple:
- apigee-provision permettant de créer des organisations, des environnements et des hôtes virtuels
- setup.sh permet d'ajouter des nœuds à un système existant.
- Tout autre utilitaire pour lequel vous devez spécifier les identifiants de l'administrateur système dans un fichier de configuration
Ces utilitaires utilisent un fichier de configuration qui spécifie les identifiants de l'administrateur système à l'aide des propriétés suivantes:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Si vous omettez le mot de passe, vous êtes invité à le saisir.
Une fois que vous avez activé SAML, vous utilisez différentes propriétés pour spécifier les identifiants de l'administrateur système. Par exemple, vous pouvez transmettre les identifiants d'administrateur système:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
où :
- SSO_LOGIN_URL spécifie l'URL du module Edge SSO. Modifiez le port ou le protocole si vous avez changé les valeurs d'adresses IP 9099 et HTTP.
- OAUTH_FLOW spécifie un passcode ou password_grant. Dans cet exemple, vous spécifiez password_grant, car vous transmettez le mot de passe de l'administrateur système.
- OAUTH_ADMIN_PASSWORD spécifie le mot de passe de l'administrateur système.
Vous pouvez également utiliser les propriétés suivantes pour spécifier les identifiants dans le cadre d'un flux de code secret:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
où :
- OAUTH_FLOW spécifie un code secret.
- OAUTH_ADMIN_PASSCODE : spécifie le code secret obtenu à partir de http://edge_sso_IP_DNS:9099/passcode.
Enfin, vous pouvez utiliser un jeton
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
où :
- OAUTH_FLOW spécifie passcode ou password_grant, selon la façon dont vous avez obtenu le jeton à l'origine. Dans cet exemple, vous spécifiez code secret, car vous avez initialement obtenu le jeton à l'aide de get_token. Consultez la section Utiliser SAML avec l'API de gestion Edge.
- OAUTH_BEARER_TOKEN contient le jeton.