Como configurar o portal do Developer Services para usar o SAML na comunicação com o Edge

Edge para nuvem privada v4.18.01

O portal de serviços para desenvolvedores atua como um cliente do Apigee Edge. Isso significa que o portal não e funcionar como um sistema independente. Em vez disso, grande parte das informações usadas pelo portal são, na verdade, armazenados no Edge. Quando necessário, o portal faz uma solicitação para recuperar informações do Edge ou para enviar informações ao Edge.

O portal está sempre associado a uma única organização de Edge. Quando você configura é possível especificar as credenciais básicas de autenticação (nome de usuário e senha) para um na organização que o portal usa para se comunicar com o Edge.

Se você ativar o SAML para a autenticação do Edge, poderá configurar o portal para usar Autenticação SAML ao fazer solicitações ao Edge. Como configurar o portal para usar SAML cria automaticamente uma nova conta de usuário de máquina na organização de Edge que o portal usa para fazer solicitações ao Edge. Para saber mais sobre usuários de máquinas, consulte Como usar SAML com tarefas automatizadas.

O suporte ao SAML para o portal exige que você já tenha instalado e configurado o Edge Módulo SSO no nó do Edge Management Server. O processo geral de ativação do SAML para o do portal é:

  1. Configure o SAML no Edge conforme descrito em Instalação e configuração de SAML para Edge (em inglês). Observação: a autenticação básica ainda precisa estar ativada no Edge para instalar o no portal do Google Cloud. Não desative a Autenticação básica na borda antes de configurar o uso do portal SAML.
  2. Instale o portal e verifique se a instalação está funcionando corretamente. Consulte Como instalar o Edge para usuários portal do Cloud Developer Services.
  3. Configure o SAML no portal.
  4. Agora você pode desativar a autenticação básica no Edge.

Como criar um usuário de máquina para o portal

Quando o SAML está ativado, o Edge oferece suporte à geração automatizada de tokens OAuth2 com o uso de usuários de máquinas. Um usuário de máquina pode obter tokens OAuth2 sem precisar especificar um senha. Isso significa que é possível automatizar completamente o processo de receber e atualizar o OAuth2. tokens.

O processo de configuração de SAML do portal cria automaticamente um usuário de máquina no organização associada ao portal. O portal usa essa conta de usuário da máquina para ao Edge. Para saber mais sobre usuários de máquinas, consulte Como usar SAML com tarefas automatizadas.

Sobre a autenticação para o desenvolvedor do portal contas

Ao configurar o portal para usar SAML, você permite que ele use o SAML para autenticação. com o Edge para que o portal possa fazer solicitações a ele. No entanto, o portal também aceita um tipo de usuários chamados desenvolvedores.

Os desenvolvedores formam a comunidade de usuários que criam aplicativos usando suas APIs. Desenvolvedores de apps usar o portal para aprender sobre suas APIs, registrar os aplicativos que usam suas APIs, interagir com comunidade de desenvolvedores e para acessar informações estatísticas sobre o uso do aplicativo em um mais avançado.

Quando um desenvolvedor faz login no portal, ele é o responsável por: autenticar o desenvolvedor e aplicar permissões baseadas em papéis. O portal continua usar a autenticação básica com desenvolvedores mesmo depois de ativar o SAML entre o portal e o Edge. Para saber mais, consulte Comunicação entre o portal e o Edge.

Também é possível configurar o portal para usar SAML na autenticação de desenvolvedores. Para um exemplo de ativação do SAML usando módulos Drupal de terceiros, consulte https://community.apigee.com/articles/29201/sso-integration-via-saml-with-developer-portal.html.

Configurar o SAML no portal para se comunicar com o Edge

Se você quiser configurar o SAML no portal, crie um arquivo de configuração:

# IP address of Edge Management Server and apigee-sso node.
IP1=22.222.22.222

# URL of Edge management API.
MGMT_URL=http://$IP1:8080/v1

# Org associated with the portal.
EDGE_ORG=myorg

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP1
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# Default is "n" to disable SAML support.
DEVPORTAL_SSO_ENABLED=y

# The name of the OAuth client used to connect to apigee-sso. 
# The default client name is portalcli.
PORTALCLI_SSO_CLIENT_NAME=portalcli
# Oauth client password using uppercase, lowercase, number, and special chars. 
PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1

# Email address and user info for the machine user created in 
# the Edge org specified above by EDGE_ORG. 
# This account is used by the portal to make requests to Edge.
# Add this email as an org admin before configuring the portal to use SAML. 
DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com
DEVPORTAL_ADMIN_FIRSTNAME=DevPortal
DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin
DEVPORTAL_ADMIN_PWD=Abcdefg@1

# If set, the existing portal OAuth client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you configure SAML and change the value of 
# any of the PORTALCLI_* properties.
PORTALCLI_SSO_CLIENT_OVERWRITE=y

Para ativar o suporte a SAML no portal:

  1. Na interface do Edge, adicione o usuário da máquina especificado por DEVPORTAL_ADMIN_EMAIL à organização associada ao portal como Administrador da Organização.
    Observação: o usuário de máquina ainda não existe, mas é criado automaticamente no para a próxima etapa.
  2. Execute o seguinte comando para configurar o SAML no portal:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f samlConfigFile

    em que samlConfigFile é o arquivo de configuração SAML.
  3. Faça login no portal como administrador.
  4. No menu principal do Drupal, selecione Configuration > Portal do desenvolvedor. O portal será exibida, incluindo as definições de SAML:

    A caixa Esta organização está habilitada para SAML não esta opção estiver marcada, o endpoint do módulo SSO do Edge estará preenchido, a Chave de API e Os campos de chave secreta do consumidor do portal Oauth do portal estão preenchidos, e o a mensagem Conexão bem-sucedida aparece no campo Teste Conexão.

  5. Pressione o botão Testar conexão para testar a conexão novamente a qualquer momento.

Para alterar esses valores mais tarde, atualize o arquivo de configuração e execute o comando novamente.

Desativar SAML no portal

Se você desativar o SAML para comunicações entre o portal e o Edge, o portal vai não poderá mais fazer solicitações ao Edge. Os desenvolvedores podem fazer login no portal, mas não poderão visualizar produtos nem criar aplicativos.

Atenção: se você desativar o SAML, reconfigure o portal para usar SAML ou, se o Edge ainda estiver configurado para oferecer suporte à autenticação básica, configurar o portal para se comunicar com o Edge usando a autenticação básica. Para saber mais sobre a autenticação básica, consulte Comunicação entre o portal e o Edge.

Para desativar o SAML no portal:

  1. Edite o arquivo de configuração usado para configurar o SAM e defina:
    DEVPORTAL_SSO_ENABLED=n
  2. Configure o portal:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile