Sử dụng SAML với các tác vụ tự động

Edge for Private Cloud phiên bản 4.17.09

Khi sử dụng SAML với API Edge, quy trình bạn sử dụng để lấy quyền truy cập vào OAuth2 và làm mới mã thông báo trong câu nhận định của SAML được gọi là quy trình mật mã. Với quy trình mật mã này, bạn sử dụng một trình duyệt để lấy mật mã một lần. Sau đó, bạn sẽ dùng mật mã này để lấy mã thông báo OAuth2.

Tuy nhiên, môi trường phát triển của bạn có thể hỗ trợ tính năng tự động hoá cho các tác vụ phát triển phổ biến, chẳng hạn như tự động hoá kiểm thử hoặc Tích hợp liên tục/Triển khai liên tục (CI/CD). Để tự động hoá những tác vụ này khi SAML được bật, bạn cần có một cách để lấy và làm mới mã thông báo OAuth2 mà không phải sao chép/dán mật mã qua trình duyệt.

Edge hỗ trợ tạo mã thông báo tự động thông qua việc sử dụng người dùng máy. Người dùng máy có thể nhận mã thông báo OAuth2 mà không cần chỉ định mật mã. Điều đó có nghĩa là bạn có thể tự động hóa hoàn toàn quá trình lấy và làm mới mã thông báo OAuth2 bằng API quản lý Edge.

Tạo người dùng máy

Sử dụng tiện ích apigee-ssoadminapi.sh để tạo người dùng máy cho tổ chức SAML. Hãy xem bài viết Sử dụng apigee-ssoadminapi.sh để biết thêm thông tin. Bạn có thể tạo một người dùng máy duy nhất mà tất cả các tổ chức của bạn sử dụng hoặc tạo một người dùng máy riêng cho từng tổ chức.

Người dùng máy được tạo và lưu trữ trong kho dữ liệu Edge, không phải trong nhà cung cấp danh tính SAML. Do đó, bạn không có trách nhiệm duy trì người dùng máy bằng cách sử dụng Edge Ui và API quản lý Edge.

Khi tạo người dùng máy, bạn phải chỉ định địa chỉ email và mật khẩu. Sau khi tạo người dùng máy, bạn chỉ định người dùng máy cho một hoặc nhiều tổ chức.

Để tạo người dùng máy:

1. Sử dụng lệnh apigee-ssoadminapi.sh sau đây để tạo người dùng máy:
   > apigee-ssoadminapi.sh saml người dùng thêm --admin SSO_ADMIN_NAME --secret SSO_ADMIN_SECRET --host edge_sso_IP_or_DNS -u machine_user_email _
   
   
   • SSO_ADMIN_NAME là tên người dùng quản trị do thuộc tính SSO_ADMIN_NAME xác định trong tệp cấu hình dùng để định cấu hình mô-đun SSO. Mặc định là ssoadmin.
   • SSO_ADMIN_SECRET là mật khẩu quản trị mà thuộc tính SSO_ADMIN_SECRET chỉ định trong tệp cấu hình.
     
     Trong ví dụ này, bạn có thể bỏ qua các giá trị cho --port và --ssl vì mô-đun apigee-sso sử dụng các giá trị mặc định là 9099 cho --port và http cho --ssl. Nếu chế độ cài đặt của bạn không sử dụng những chế độ mặc định này, hãy chỉ định chế độ cài đặt này cho phù hợp.
2. Đăng nhập vào giao diện người dùng Edge và thêm email của người dùng máy cho các tổ chức của bạn, rồi chỉ định người dùng máy cho vai trò cần thiết. Xem phần Thêm người dùng toàn cầu để biết thêm thông tin.

Lấy và làm mới mã thông báo người dùng của máy

Sử dụng Edge API để lấy và làm mới mã thông báo OAuth2 bằng cách chuyển thông tin xác thực của người dùng máy thay vì mật mã.

Để nhận mã thông báo OAuth2 cho người dùng máy:

1. ..
   
   
   
   
   
   
   Lệnh gọi in mã truy cập và mã làm mới ra màn hình. Lưu mã thông báo để sử dụng sau.
2. Chuyển mã truy cập vào lệnh gọi API quản lý Edge dưới dạng tiêu đề Bearer:
   > curl -H "Authorization: Bearer access_token" http://ms_IP_DNS:8080/v1/organizations/orgName
   
   trong đó orgName là tên của tổ chức chứa người dùng máy.
3. để.
   
   
   
   
   
   
   

Tạo người dùng máy bằng API quản lý Edge

Bạn có thể tạo người dùng máy bằng cách sử dụng Edge management API thay vì sử dụng tiện ích apigee-ssoadminapi.sh. Cách tạo người dùng máy:

1. (
   
   
   
   
   
   
   
   
   Lệnh này hiển thị một mã thông báo mà bạn cần thực hiện cuộc gọi tiếp theo.
2. .
   
   
   
   
   
   
3. Đăng nhập vào giao diện người dùng Edge và thêm email của người dùng máy cho các tổ chức của bạn, rồi chỉ định người dùng máy cho vai trò cần thiết. Xem phần Thêm người dùng toàn cầu để biết thêm thông tin.