Edge for Private Cloud v. 4.17.09
Phần này mô tả cách chạy các công cụ và lệnh quản trị hệ thống Edge sau khi bật SAML. Nhiều tác vụ trên Edge yêu cầu thông tin xác thực quản trị hệ thống, chẳng hạn như:
- Tạo tổ chức và môi trường
- Thêm và xoá thành phần Edge
- Chạy các lệnh apigee-adminapi.sh
- nhiều tác vụ khác
Tuy nhiên, sau khi bật SAML trên Edge, bạn thường tắt phương thức Xác thực cơ bản để cách duy nhất để xác thực là thông qua IDP SAML. Do đó, bạn phải đảm bảo rằng bạn đã thêm tài khoản quản trị hệ thống vào IDP SAML.
Gọi API quản lý Edge với tư cách là quản trị viên hệ thống
Nhiều lệnh gọi API Edge yêu cầu bạn phải chuyển thông tin đăng nhập của quản trị viên hệ thống. Bài viết Sử dụng SAML với API quản lý Edge trình bày hướng dẫn về cách lấy và làm mới mã thông báo khi thực hiện lệnh gọi API quản lý Edge.
Sử dụng tiện ích apigee-adminapi.sh bằng phương thức xác thực SAML
Sử dụng tiện ích apigee-adminapi.sh để thực hiện các tác vụ định cấu hình Edge tương tự như bạn thực hiện bằng cách gọi API quản lý Edge. Tiện ích apigee-adminapi.sh có ưu điểm là:
- Sử dụng giao diện dòng lệnh đơn giản
- Triển khai tính năng tự động hoàn thành lệnh dựa trên phím tab
- Cung cấp thông tin trợ giúp và sử dụng
- Có thể hiển thị lệnh gọi API tương ứng nếu bạn quyết định dùng thử API
Để biết thêm thông tin, hãy xem phần Sử dụng apigee-ssoadminapi.sh.
Sau khi bật tính năng xác thực SAML, bạn có một số cách để chuyển thông tin xác thực của quản trị viên hệ thống đến tiện ích apigee-adminapi.sh.
Bạn có thể xem tất cả các tuỳ chọn cho bất kỳ lệnh apigee-adminapi.sh nào, bao gồm cả các tuỳ chọn để chỉ định thông tin xác thực SAML, bằng cách sử dụng tuỳ chọn "-h" cho lệnh. Ví dụ:
> apigee-adminapi.sh orgs list -h
Ví dụ: bạn có thể truyền thông tin đăng nhập của quản trị viên hệ thống:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword
trong đó:
- sso-url chỉ định URL của mô-đun SSO Edge. Sửa đổi cổng hoặc giao thức nếu bạn đã thay đổi cổng hoặc giao thức từ 9099 và HTTP.
- OAuth-flow chỉ định mật mã hoặc password_grants. Trong ví dụ này, bạn chỉ định password_grant.
- adminEmail là địa chỉ email của quản trị viên hệ thống.
- oauth-password chỉ định mật khẩu của quản trị viên hệ thống.
Ngoài ra, bạn có thể sử dụng mật mã khi gọi lệnh:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode
trong đó:
- OAuth-flow chỉ định mật mã.
- Mã truy cập OAuth chỉ định mật mã thu được từ http://edge_sso_IP_DNS:9099/passcode.
Cuối cùng, bạn có thể sử dụng mã thông báo khi gọi lệnh:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token
trong đó:
- oauth-flow chỉ định passcode hoặc password_grant, tuỳ thuộc vào cách bạn nhận được mã thông báo ban đầu. Trong ví dụ này, bạn chỉ định passcode vì ban đầu bạn đã nhận được mã thông báo bằng cách sử dụng get_token. Hãy xem phần Sử dụng SAML với API quản lý Edge.
- oauh_token chứa mã thông báo.
Sử dụng các tiện ích Edge với tính năng xác thực bằng SAML
Nhiều tiện ích Edge yêu cầu thông tin đăng nhập của quản trị viên hệ thống, chẳng hạn như:
- apigee-transactions dùng để tạo tổ chức, môi trường và máy chủ ảo
- setup.sh dùng để thêm các nút vào một hệ thống hiện có
- Mọi tiện ích khác mà bạn phải chỉ định thông tin xác thực quản trị viên hệ thống trong tệp cấu hình
Các tiện ích này lấy tệp cấu hình làm dữ liệu đầu vào, trong đó chỉ định thông tin xác thực của quản trị viên hệ thống bằng cách sử dụng các thuộc tính:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Nếu bỏ qua mật khẩu, thì bạn sẽ được nhắc nhập mật khẩu đó.
Sau khi bật SAML, bạn có thể sử dụng nhiều thuộc tính để chỉ định thông tin xác thực của quản trị viên hệ thống. Ví dụ: bạn có thể truyền thông tin đăng nhập của quản trị viên hệ thống:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
trong đó:
- SSO_LOGIN_URL chỉ định URL của mô-đun SSO của Edge. Sửa đổi cổng hoặc giao thức nếu bạn đã thay đổi cổng hoặc giao thức từ 9099 và HTTP.
- OAUTH_FLOW chỉ định passcode hoặc password_grant. Trong ví dụ này, bạn chỉ định password_grant vì bạn đang truyền mật khẩu của quản trị viên hệ thống.
- OAUTH_ADMIN_PASSWORD chỉ định mật khẩu của quản trị viên hệ thống.
Ngoài ra, bạn có thể sử dụng các thuộc tính sau để chỉ định thông tin xác thực trong quy trình xác thực bằng mã xác thực:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
trong đó:
- OAUTH_FLOW chỉ định mật mã.
- OAUTH_ADMIN_PASSCODE chỉ định mật mã mà bạn nhận được từ http://edge_sso_IP_DNS:9099/passcode.
Cuối cùng, bạn có thể dùng một mã thông báo
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
trong đó:
- OAUTH_FLOW chỉ định passcode hoặc password_grant, tuỳ thuộc vào cách bạn nhận được mã thông báo ban đầu. Trong ví dụ này, bạn chỉ định passcode vì ban đầu bạn đã nhận được mã thông báo bằng cách sử dụng get_token. Hãy xem phần Sử dụng SAML với API quản lý Edge.
- OAUTH_BEARER_TOKEN chứa mã thông báo.