Edge for Private Cloud w wersji 4.17.09
W tej sekcji opisaliśmy, jak po włączeniu protokołu SAML uruchamiać narzędzia administracyjne systemu Edge i odpowiednie polecenia. Wiele zadań na Edge wymaga danych logowania administratora systemu, takich jak:
- Tworzenie organizacji i środowisk
- Dodawanie i usuwanie komponentów krawędzi
- Polecenia Runngin apigee-adminapi.sh
- wiele innych zadań
Jednak po włączeniu SAML w Edge zazwyczaj wyłącza się uwierzytelnianie podstawowe, więc jedynym sposobem uwierzytelniania jest korzystanie z dostawcy tożsamości SAML. Dlatego musisz się upewnić, że dodałeś konto administratora systemu do dostawcy tożsamości SAML.
Wywoływanie interfejsów API do zarządzania Edge jako administrator systemu
Wiele wywołań interfejsu Edge API wymaga podania danych logowania administratora systemu. Korzystanie z protokołu SAML w ramach interfejsu Edge management API zawiera instrukcje uzyskiwania i odświeżania tokenów podczas wywoływania interfejsu Edge management API.
Używanie narzędzia apigee-adminapi.sh z uwierzytelnianiem SAML
Użyj narzędzia apigee-adminapi.sh do wykonywania tych samych zadań konfiguracji Edge, które wykonujesz, wykonując wywołania interfejsu Edge Management API. Zaletą narzędzia apigee-adminapi.sh jest to, że:
- Używanie prostego interfejsu wiersza poleceń
- Wprowadza autouzupełnianie poleceń po naciśnięciu tabulatora
- zawiera informacje o pomocy i użytkowaniu;
- Może wyświetlić odpowiednie wywołanie interfejsu API, jeśli zdecydujesz się go wypróbować
Więcej informacji znajdziesz w artykule Korzystanie z apigee-ssoadminapi.sh.
Po włączeniu uwierzytelniania SAML możesz na kilka sposobów przekazać dane logowania administratora systemu do narzędzia apigee-adminapi.sh.
Możesz wyświetlić wszystkie opcje dowolnego polecenia apigee-adminapi.sh, w tym opcje określania danych logowania SAML, używając opcji „-h” w poleceniu. Przykład:
> apigee-adminapi.sh orgs list -h
Możesz na przykład przekazać dane logowania administratora systemu:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword
gdzie:
- sso-url określa adres URL modułu SSO Edge. Zmień port lub protokół, jeśli zostały one zmienione z 9099 i HTTP.
- oauth-flow określa wartość passcode lub password_grant. W tym przykładzie określasz parametr password_grant.
- adminEmail jest adresem e-mail administratora Sys.
- oauth-password określa hasło administratora systemu.
Możesz też użyć kodu dostępu, wywołując polecenie:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode
gdzie:
- oauth-flow określa kod dostępu.
- Parametr oauth-passcode określa hasło uzyskane z http://edge_sso_IP_DNS:9099/passcode.
Na koniec możesz użyć tokena podczas wywoływania polecenia:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token
gdzie:
- oauth-flow określa wartość passcode lub password_grant, w zależności od tego, w jaki sposób uzyskano token. W tym przykładzie podajesz passcode, ponieważ token został pierwotnie uzyskany za pomocą funkcji get_token. Zobacz Używanie protokołu SAML z interfejsem Edge Management API.
- oauh_token zawiera token.
Korzystanie z usług Edge z uwierzytelnianiem SAML
Wiele narzędzi Edge wymaga danych logowania administratora systemu, takich jak:
- apigee-provision służy do tworzenia organizacji, środowisk i hostów wirtualnych;
- setup.sh służy do dodawania węzłów do istniejącego systemu.
- W dowolnym innym narzędziu, w którym musisz podać dane logowania administratora systemu w pliku konfiguracji.
Te narzędzia przyjmują jako dane wejściowe plik konfiguracji, który określa dane logowania administratora systemu za pomocą tych właściwości:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Jeśli pominiesz hasło, pojawi się prośba o jego podanie.
Po włączeniu SAML należy używać różnych właściwości do określania danych logowania administratora systemu sys. Możesz na przykład przekazać dane logowania administratora systemu:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
gdzie:
- SSO_LOGIN_URL określa adres URL modułu logowania jednokrotnego Edge. Zmień port lub protokół, jeśli zostały zmienione z 9099 lub HTTP.
- OAUTH_FLOW określa wartość passcode lub password_grant. W tym przykładzie podajesz parametr password_grant, ponieważ przekazujesz hasło administratora systemu.
- OAUTH_ADMIN_PASSWORD: określa hasło administratora systemu.
Możesz też użyć tych właściwości, aby określić poświadczenia w ramach procesu logowania za pomocą kodu dostępu:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
gdzie:
- OAUTH_FLOW określa hasło.
- OAUTH_ADMIN_PASSCODE określa kod dostępu uzyskany z http://edge_sso_IP_DNS:9099/passcode.
Możesz też użyć tokena
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
gdzie:
- OAUTH_FLOW określa passcode lub password_grant w zależności od sposobu, w jaki pozyskano token. W tym przykładzie podajesz passcode, ponieważ token pierwotnie uzyskano za pomocą parametru get_token. Zobacz Używanie protokołu SAML z interfejsem Edge Management API.
- Parametr OAUTH_BEARER_TOKEN zawiera token.