Edge for Private Cloud v. 4.17.09
本部分介绍如何在启用 SAML 后运行 Edge 系统管理工具和命令。Edge 上的许多任务都需要系统管理凭据,例如:
- 创建组织和环境
- 添加和移除 Edge 组件
- Runngin apigee-adminapi.sh 命令
- 许多其他任务
但是,在 Edge 上启用 SAML 后,您通常会停用基本身份验证,以便通过 SAML IDP 进行身份验证。因此,您必须确保已将系统管理员帐号添加到 SAML IDP 中。
以系统管理员的身份调用 Edge Management API
许多 Edge API 调用要求您传递系统管理员凭据。将 SAML 与 Edge Management API 搭配使用包含有关如何在调用 Edge Management API 时获取和刷新令牌的说明。
将 apigee-adminapi.sh 实用程序与 SAML 身份验证搭配使用
使用 apigee-adminapi.sh 实用程序,像调用 Edge Management API 那样执行 Edge 配置任务。apigee-adminapi.sh 实用程序的优势在于:
- 使用简单的命令行界面
- 实现基于 Tab 的命令补全
- 提供帮助和使用情况信息
- 如果您决定试用该 API,可以显示相应的 API 调用
如需了解详情,请参阅使用 apigee-ssoadminapi.sh。
启用 SAML 身份验证后,您可以通过多种方式将系统管理员凭据传递给 apigee-adminapi.sh 实用程序。
您可以通过在命令中使用“-h”选项来查看任何 apigee-adminapi.sh 命令的所有选项,包括用于指定 SAML 凭据的选项。例如:
> apigee-adminapi.sh orgs list -h
例如,您可以传递系统管理员凭据:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword
其中:
- sso-url 指定 Edge SSO 模块的网址。修改端口或协议(如果您将其更改为从 9099 和 HTTP 更改为其他端口或协议)。
- oauth-flow 指定 passcode 或 password_grant。在此示例中,您指定了 password_grant。
- adminEmail 是系统管理员的电子邮件地址。
- oauth-password 指定了系统管理员的密码。
或者,您也可以在调用命令时使用密码:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode
其中:
- oauth-flow 指定密码。
- oauth-passcode 用于指定从 http://edge_sso_IP_DNS:9099/passcode 获取的密码。
最后,您可以在调用命令时使用令牌:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token
其中:
- oauth-flow 指定 passcode 或 password_grant,具体取决于您最初获取令牌的方式。在此示例中,您需要指定 passcode,因为您最初是使用 get_token 获取的令牌的。请参阅将 SAML 与 Edge Management API 搭配使用。
- oauh_token 包含令牌。
将 Edge 实用程序与 SAML 身份验证搭配使用
许多 Edge 实用程序都需要系统管理员凭据,例如:
- apigee-provision,用于创建组织、环境和虚拟主机
- setup.sh,用于向现有系统添加节点
- 您必须在配置文件中指定系统管理员凭据的任何其他实用程序
这些实用程序将配置文件作为输入,该文件通过以下属性指定系统管理员的凭据:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
如果您省略密码,系统会提示您输入密码。
启用 SAML 后,您可以使用不同的属性指定系统管理员的凭据。例如,您可以传递系统管理员凭据:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
其中:
- SSO_LOGIN_URL 指定 Edge SSO 模块的网址。修改端口或协议(如果您将其更改为从 9099 和 HTTP 更改为其他端口或协议)。
- OAUTH_FLOW 会指定 passcode 或 password_grant。在此示例中,您指定了 password_grant,因为您传递的是系统管理员的密码。
- OAUTH_ADMIN_PASSWORD 会指定系统管理员的密码。
或者,您也可以使用以下属性在密码流程中指定凭据:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
其中:
- OAUTH_FLOW 用于指定密码。
- OAUTH_ADMIN_PASSCODE 会指定从 OAUTH_ADMIN_PASSCODE 获取的密码。edge_sso_IP_DNS
最后,您可以使用
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
其中:
- OAUTH_FLOW 会指定 passcode 或 password_grant,具体取决于您最初获取令牌的方式。在此示例中,您需要指定 passcode,因为您最初是使用 get_token 获取的令牌的。请参阅将 SAML 与 Edge Management API 搭配使用。
- OAUTH_BEARER_TOKEN 包含令牌。