שימוש בכלים לניהול אתרים ובממשקי API של Edge לאחר הפעלת SAML

Edge for Private Cloud בגרסה 4.17.09

בקטע הזה נסביר איך להריץ את כלי הניהול והפקודות של מערכת Edge אחרי הפעלת SAML. משימות רבות ב-Edge דורשות פרטי כניסה של ניהול המערכת, כמו:

  • יצירת ארגונים וסביבות
  • הוספה והסרה של רכיבי Edge
  • הפעלת פקודות apigee-adminapi.sh
  • משימות רבות אחרות

עם זאת, אחרי שמפעילים את SAML ב-Edge, בדרך כלל משביתים את האימות הבסיסי, כך שהדרך היחידה לבצע אימות היא דרך ה-IdP של SAML. לכן, חשוב לוודא שהוספתם את חשבון האדמין המערכתי ל-SAML IDP.

קריאה ל-API לניהול Edge כאדמין המערכת

בקריאות רבות ל-Edge API צריך להעביר פרטי כניסה של אדמין מערכת. במאמר שימוש ב-SAML עם Edge Management API מפורטות הוראות לקבלת אסימונים ולרענונם בזמן ביצוע קריאות ל-Edge Management API.

שימוש בכלי apigee-adminapi.sh עם אימות SAML

אפשר להשתמש בכלי apigee-adminapi.sh כדי לבצע את אותן משימות של הגדרת Edge שמבצעים באמצעות קריאות ל-Edge Management API. היתרון של הכלי apigee-adminapi.sh הוא שהוא:

  • שימוש בממשק שורת פקודה פשוט
  • הטמעת השלמת פקודה מבוססת-Tab
  • מידע על עזרה ושימוש
  • אפשר להציג את קריאת ה-API התואמת אם תחליטו לנסות את ה-API

מידע נוסף זמין במאמר שימוש ב-apigee-ssoadminapi.sh.

אחרי שמפעילים את אימות SAML, יש כמה דרכים להעביר את פרטי הכניסה של האדמין למערכת לכלי apigee-adminapi.sh.

אפשר לראות את כל האפשרויות של כל פקודה של apigee-adminapi.sh, כולל האפשרויות לציון פרטי הכניסה של SAML, באמצעות האפשרות '-h' בפקודה. לדוגמה:

> apigee-adminapi.sh orgs list -h

לדוגמה, אפשר להעביר את פרטי הכניסה של האדמין המערכת:

> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword

כאשר:

  • sso-url מציין את כתובת ה-URL של מודול ה-SSO של Edge. משנים את היציאה או הפרוטוקול אם שיניתם אותם מ-9099 ו-HTTP.
  • oauth-flow מציין את הערך passcode או את הערך password_grant. בדוגמה הזו מציינים את password_grant.
  • adminEmail היא כתובת האימייל של האדמין.
  • oauth-password מציין את הסיסמה של האדמין המערכתי.

לחלופין, אפשר להשתמש בקוד גישה כשמריצים את הפקודה:

> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode

כאשר:

  • oauth-flow מציין את passcode.
  • oauth-passcode מציין את קוד הגישה שהתקבל מ-http://edge_sso_IP_DNS:9099/passcode.

לבסוף, ניתן להשתמש באסימון כשמפעילים את הפקודה:

> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token

איפה:

  • oauth-flow מציין קוד גישה או password_grant בהתאם לאופן שבו קיבלתם את האסימון במקור. בדוגמה הזו, מציינים את קוד הגישה כי במקור קיבלתם את האסימון באמצעות get_token. למידע נוסף, ראו שימוש ב-SAML עם ממשק ה-API לניהול של Edge.
  • השדה oauh_token מכיל את הטוקן.

שימוש בכלים של Edge עם אימות באמצעות SAML

להרבה כלי עזר של Edge נדרשים פרטי כניסה של אדמין, כמו:

  • apigee-provision – משמש ליצירת ארגונים, סביבות ומארחים וירטואליים
  • setup.sh המשמש להוספת צמתים למערכת קיימת
  • כל כלי אחר שבו צריך לציין את פרטי הכניסה של האדמין במערכת בקובץ תצורה

הכלים האלה מקבלים כקלט קובץ תצורה שמציין את פרטי הכניסה של מנהל המערכת באמצעות המאפיינים:

ADMIN_EMAIL="adminEmail"
APIGEE_ADMINPW=adminPWord

אם תשמיטו את הסיסמה, תתבקשו להזין אותה.

אחרי שמפעילים את SAML, משתמשים במאפיינים שונים כדי לציין את פרטי הכניסה של האדמין המערכתי. לדוגמה, אפשר להעביר את פרטי הכניסה של האדמין המערכת:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=password_grant
OAUTH_ADMIN_PASSWORD=adminPWord

כאשר:

  • SSO_LOGIN_URL מציינת את כתובת ה-URL של מודול ה-SSO של Edge. משנים את היציאה או הפרוטוקול אם שיניתם אותם מ-9099 ו-HTTP.
  • OAUTH_FLOW מציין את הערך passcode או את הערך password_grant. בדוגמה הזו, צריך לציין password_grant כי מעבירים את הסיסמה של האדמין המערכתי.
  • OAUTH_ADMIN_PASSWORD מציין את הסיסמה של האדמין המערכתי.

לחלופין, אפשר להשתמש במאפיינים הבאים כדי לציין את פרטי הכניסה כחלק מתהליך של קוד גישה:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_ADMIN_PASSCODE=passcode

כאשר:

  • OAUTH_FLOW מציין קוד גישה.
  • OAUTH_ADMIN_PASSCODE מציין את קוד הגישה שהתקבל מ-http://edge_sso_IP_DNS:9099/passcode.

לבסוף, אפשר להשתמש בטוקן

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_BEARER_TOKEN=token

כאשר:

  • השדה OAUTH_FLOW מציין את הערך passcode או password_grant, בהתאם לאופן שבו קיבלתם את האסימון במקור. בדוגמה הזו, מציינים את קוד הגישה כי במקור קיבלתם את האסימון באמצעות get_token. למידע נוסף, ראו שימוש ב-SAML עם Edge Management API.
  • OAUTH_BEARER_TOKEN מכיל את האסימון.