Konfiguration des Developer Services-Portals für die Kommunikation mit Edge über SAML

Edge for Private Cloud Version 4.18.01

Das Developer Services-Portal fungiert als Client von Apigee Edge. Das bedeutet, dass das Portal nicht als eigenständiges System funktioniert. Stattdessen werden viele der vom Portal verwendeten Informationen tatsächlich in Edge gespeichert. Bei Bedarf stellt das Portal eine Anfrage zum Abrufen von Informationen von Edge oder zum Senden von Informationen an Edge.

Das Portal ist immer mit einer einzelnen Edge-Organisation verknüpft. Wenn Sie das Portal konfigurieren, können Sie die Anmeldedaten für die grundlegende Authentifizierung (Nutzername und Passwort) für ein Konto in der Organisation angeben, das das Portal für die Kommunikation mit Edge verwendet.

Wenn Sie die SAML für Edge-Authentifizierung aktivieren, können Sie das Portal so konfigurieren, dass bei Anfragen an Edge die SAML-Authentifizierung verwendet wird. Wenn Sie das Portal für die Verwendung von SAML konfigurieren, wird in der Edge-Organisation automatisch ein neues Computernutzerkonto erstellt, das das Portal dann für Anfragen an Edge verwendet. Weitere Informationen zu Computernutzern finden Sie unter SAML mit automatisierten Aufgaben verwenden.

Für die SAML-Unterstützung für das Portal muss das Edge-SSO-Modul auf dem Edge-Management-Serverknoten bereits installiert und konfiguriert sein. So aktivieren Sie SAML für das Portal im Allgemeinen:

  1. Konfigurieren Sie SAML on Edge wie unter Installation und Konfiguration von SAML für Edge beschrieben. Hinweis: Basic Auth muss noch auf Edge aktiviert sein, um das Portal zu installieren. Deaktivieren Sie die Basisauthentifizierung in Edge erst, nachdem Sie das Portal für die Verwendung von SAML konfiguriert haben.
  2. Installieren Sie das Portal und vergewissern Sie sich, dass die Installation ordnungsgemäß funktioniert. Siehe Portal Edge for Private Cloud Developer Services installieren.
  3. Konfigurieren Sie SAML im Portal.
  4. Sie können jetzt Basic Auth in Edge deaktivieren.

Maschinennutzer für das Portal erstellen

Wenn SAML aktiviert ist, unterstützt Edge die automatische OAuth2-Token-Generierung durch Computernutzer. Ein Computernutzer kann OAuth2-Tokens abrufen, ohne einen Sicherheitscode angeben zu müssen. Das bedeutet, dass Sie das Abrufen und Aktualisieren von OAuth2-Tokens vollständig automatisieren können.

Bei der SAML-Konfiguration für das Portal wird automatisch ein Computernutzer in der mit dem Portal verknüpften Organisation erstellt. Das Portal verwendet dann dieses Computernutzerkonto, um eine Verbindung zu Edge herzustellen. Weitere Informationen zu Computernutzern finden Sie unter SAML mit automatisierten Aufgaben verwenden.

Authentifizierung für Portalentwicklerkonten

Wenn Sie das Portal für die Verwendung von SAML konfigurieren, ermöglichen Sie es dem Portal, SAML zur Authentifizierung bei Edge zu verwenden, damit das Portal Anfragen an Edge stellen kann. Das Portal unterstützt jedoch auch einen Nutzertyp namens Entwickler.

Entwickler stellen die Community der Nutzer dar, die Apps mithilfe Ihrer APIs erstellen. App-Entwickler nutzen das Portal, um mehr über Ihre APIs zu erfahren, Apps zu registrieren, die Ihre APIs verwenden, mit der Entwickler-Community zu interagieren und statistische Informationen über ihre App-Nutzung in einem Dashboard anzusehen.

Wenn sich ein Entwickler im Portal anmeldet, ist es das Portal, das für die Authentifizierung des Entwicklers und die Erzwingung rollenbasierter Berechtigungen verantwortlich ist. Das Portal verwendet weiterhin die Basisauthentifizierung mit Entwicklern, auch wenn Sie SAML zwischen dem Portal und Edge aktiviert haben. Weitere Informationen finden Sie unter Kommunikation zwischen Portal und Edge.

Sie können das Portal auch so konfigurieren, dass SAML zur Authentifizierung von Entwicklern verwendet wird. Ein Beispiel für die Aktivierung von SAML mithilfe von Drupal-Modulen von Drittanbietern finden Sie unter https://community.apigee.com/articles/29201/sso-integration-via-saml-with-developer-portal.html.

Konfigurieren Sie SAML im Portal für die Kommunikation mit Edge

Um SAML für das Portal zu konfigurieren, müssen Sie eine Konfigurationsdatei erstellen.

# IP address of Edge Management Server and apigee-sso node.
IP1=22.222.22.222

# URL of Edge management API.
MGMT_URL=http://$IP1:8080/v1

# Org associated with the portal.
EDGE_ORG=myorg

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP1
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# Default is "n" to disable SAML support.
DEVPORTAL_SSO_ENABLED=y

# The name of the OAuth client used to connect to apigee-sso. 
# The default client name is portalcli.
PORTALCLI_SSO_CLIENT_NAME=portalcli
# Oauth client password using uppercase, lowercase, number, and special chars. 
PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1

# Email address and user info for the machine user created in 
# the Edge org specified above by EDGE_ORG. 
# This account is used by the portal to make requests to Edge.
# Add this email as an org admin before configuring the portal to use SAML. 
DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com
DEVPORTAL_ADMIN_FIRSTNAME=DevPortal
DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin
DEVPORTAL_ADMIN_PWD=Abcdefg@1

# If set, the existing portal OAuth client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you configure SAML and change the value of 
# any of the PORTALCLI_* properties.
PORTALCLI_SSO_CLIENT_OVERWRITE=y

So aktivieren Sie die SAML-Unterstützung im Portal:

  1. Fügen Sie in der Edge-Benutzeroberfläche den in DEVPORTAL_ADMIN_EMAIL angegebenen Computernutzer der mit dem Portal verknüpften Organisation als Organisationsadministrator hinzu.
    Hinweis: Der Computernutzer ist noch nicht vorhanden, wird aber im nächsten Schritt automatisch erstellt.
  2. Führen Sie den folgenden Befehl aus, um SAML im Portal zu konfigurieren:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f samlConfigFile

    , wobei samlConfigFile die SAML-Konfigurationsdatei ist.
  3. Melden Sie sich als Portaladministrator im Portal an.
  4. Wählen Sie im Hauptmenü von Drupal Configuration > Dev Portal (Konfiguration > Entwicklerportal). Der Konfigurationsbildschirm des Portals wird angezeigt, einschließlich der SAML-Einstellungen:

    Beachten Sie, dass das Kästchen Diese Organisation ist SAML-aktiviert aktiviert ist, der Endpunkt für das Edge-SSO-Modul ausgefüllt ist, die Felder API-Schlüssel und Consumer-Secret für den OAuth-Client des Portals ausgefüllt sind und die Meldung Verbindung erfolgreich unter der Schaltfläche Verbindung testen angezeigt wird.

  5. Sie können jederzeit auf die Schaltfläche Verbindung testen klicken, um die Verbindung noch einmal zu testen.

Wenn Sie diese Werte später ändern möchten, aktualisieren Sie die Konfigurationsdatei und führen Sie den Befehl noch einmal aus.

SAML im Portal deaktivieren

Wenn Sie SAML für die Kommunikation zwischen dem Portal und Edge deaktivieren, kann das Portal keine Anfragen an Edge mehr stellen. Entwickler können sich im Portal anmelden, aber keine Produkte ansehen oder Apps erstellen.

Achtung: Wenn Sie SAML deaktivieren, sollten Sie das Portal neu konfigurieren, um entweder SAML zu verwenden. Wenn Edge aber noch so konfiguriert ist, dass sie die Basisauthentifizierung unterstützt, konfigurieren Sie das Portal so, dass es mit Edge über die Basisauthentifizierung kommuniziert. Weitere Informationen zur Verwendung der Basisauthentifizierung finden Sie unter Kommunikation zwischen Portal und Edge.

So deaktivieren Sie SAML im Portal:

  1. Legen Sie in der Konfigurationsdatei, mit der Sie SAM konfiguriert haben, Folgendes fest:
    DEVPORTAL_SSO_ENABLED=n
  2. Konfigurieren Sie das Portal:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile