Configura el portal de servicios para desarrolladores a fin de usar SAML para comunicarse con Edge

Edge for Private Cloud v4.18.01

El portal de servicios para desarrolladores actúa como un cliente de Apigee Edge. Eso significa que el portal no funcionar como un sistema independiente. Gran parte de la información que usa el portal almacenados en Edge. Cuando es necesario, el portal solicita recuperar información de Edge o para enviar información a Edge.

El portal siempre está asociado a una sola organización de Edge. Cuando configuras puedes especificar las credenciales de autenticación básicas (nombre de usuario y contraseña) para un de la organización que el portal usa para comunicarse con Edge.

Si eliges habilitar SAML para la autenticación perimetral, puedes configurar el portal para que use Autenticación de SAML cuando se hacen solicitudes a Edge Configura el portal para usar SAML crea automáticamente una nueva cuenta de usuario de máquina en la organización de Edge en la que el portal luego usa para hacer solicitudes a Edge. Para obtener más información sobre los usuarios de máquinas, consulta Usa SAML con tareas automáticas.

Para que el portal sea compatible con SAML, debes haber instalado y configurado Edge Módulo de SSO en el nodo del servidor de administración perimetral. El proceso general para habilitar SAML para la portal es:

  1. Configura SAML en Edge como se describe en Instalación y configuración de SAML para Perímetro. Nota: La autenticación básica debe estar habilitada en Edge para instalar el portal. No inhabilites la Autenticación básica en Edge hasta que hayas configurado el portal para usar SAML.
  2. Instala el portal y asegúrate de que la instalación funcione correctamente. Consulta Instalación de Edge para entornos Portal de los servicios para desarrolladores de Cloud.
  3. Configura SAML en el portal.
  4. Ahora puedes inhabilitar la autenticación básica en Edge.

Crea un usuario de máquina para el portal

Cuando SAML está habilitado, Edge admite la generación automatizada de tokens OAuth2 mediante usuarios de máquinas. Un usuario de máquina puede obtener tokens OAuth2 sin tener que especificar un contraseña. Esto significa que puedes automatizar completamente el proceso de obtención y actualización de OAuth2. tokens.

El proceso de configuración SAML para el portal crea automáticamente un usuario de máquina en el organización asociada con el portal. Luego, el portal usa esta cuenta de usuario de máquina para conectarte a Edge. Para obtener más información sobre los usuarios de máquinas, consulta Usa SAML con tareas automáticas.

Información sobre la autenticación para desarrolladores del portal cuentas

Cuando configuras el portal para que use SAML, debes habilitar el portal para que use SAML para la autenticación con Edge para que el portal pueda hacer solicitudes a Edge. Sin embargo, el portal también admite un tipo de usuario llamado desarrolladores.

Los desarrolladores conforman la comunidad de usuarios que compilan apps usando tus APIs. Desarrolladores de apps usar el portal para obtener información sobre tus APIs, registrar apps que las usen, interactuar con la comunidad de desarrolladores y ver información estadística sobre el uso de la aplicación en una o un panel dinámico más robusto.

Cuando un desarrollador accede al portal, este es el responsable de la autenticación del desarrollador y la aplicación de permisos basados en roles. El portal continúa usar la autenticación básica con los desarrolladores, incluso después de habilitar SAML entre el portal y Edge. Para obtener más información, consulta Comunicación entre el portal y Edge.

También se puede configurar el portal para que use SAML con el fin de autenticar desarrolladores. Para un ejemplo sobre cómo habilitar SAML con módulos de Drupal de terceros, consulta https://community.apigee.com/articles/29201/sso-integration-via-saml-with-developer-portal.html.

Configura SAML en el portal para comunicarse con Edge

Si deseas configurar SAML para el portal, debes crear un archivo de configuración para configurar el portal:

# IP address of Edge Management Server and apigee-sso node.
IP1=22.222.22.222

# URL of Edge management API.
MGMT_URL=http://$IP1:8080/v1

# Org associated with the portal.
EDGE_ORG=myorg

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP1
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# Default is "n" to disable SAML support.
DEVPORTAL_SSO_ENABLED=y

# The name of the OAuth client used to connect to apigee-sso. 
# The default client name is portalcli.
PORTALCLI_SSO_CLIENT_NAME=portalcli
# Oauth client password using uppercase, lowercase, number, and special chars. 
PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1

# Email address and user info for the machine user created in 
# the Edge org specified above by EDGE_ORG. 
# This account is used by the portal to make requests to Edge.
# Add this email as an org admin before configuring the portal to use SAML. 
DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com
DEVPORTAL_ADMIN_FIRSTNAME=DevPortal
DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin
DEVPORTAL_ADMIN_PWD=Abcdefg@1

# If set, the existing portal OAuth client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you configure SAML and change the value of 
# any of the PORTALCLI_* properties.
PORTALCLI_SSO_CLIENT_OVERWRITE=y

Para habilitar la compatibilidad con SAML en el portal, haz lo siguiente:

  1. En la IU de Edge, agrega a la organización el usuario de la máquina que especifica DEVPORTAL_ADMIN_EMAIL. asociado al portal como Administrador de la organización.
    Nota: El usuario de la máquina aún no existe, pero se crea automáticamente en el el próximo paso.
  2. Ejecuta el siguiente comando para configurar SAML en el portal:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f samlConfigFile

    en el que samlConfigFile es el archivo de configuración de SAML.
  3. Accede al portal como administrador.
  4. En el menú principal de Drupal, selecciona Configuración > Portal para desarrolladores. El portal de configuración, incluida la configuración de SAML:

    Ten en cuenta que el cuadro Esta organización está habilitada para SAML es se marcará el extremo del módulo de SSO de Edge, la clave de API y Se deben completar los campos Secreto de consumidor del cliente de OAuth del portal, y aparecerá el mensaje Connection Successful en la sección Test Botón Conexión.

  5. Puedes presionar el botón Probar conexión para volver a probar la conexión en en cualquier momento.

Para cambiar estos valores más adelante, actualiza el archivo de configuración y vuelve a ejecutar el comando.

Inhabilitar SAML en el portal

Si decides inhabilitar SAML para las comunicaciones entre el portal y Edge, el portal ya no podrán hacer solicitudes a Edge. Los desarrolladores pueden acceder al portal, pero no podrán ver el producto ni crear apps.

Precaución: Si inhabilitas SAML, debes volver a configurarlo en el portal para usar SAML o, si Edge todavía está configurado para admitir la autenticación básica, configurar el portal para comunicarse con Edge usando la autenticación básica. Para obtener más información sobre el uso de la autenticación básica, consulta Comunicación entre el portal y Edge.

Para inhabilitar SAML en el portal, haz lo siguiente:

  1. Edita el archivo de configuración que usaste para configurar SAM y establecer lo siguiente:
    DEVPORTAL_SSO_ENABLED=n
  2. Configura el portal:
    > /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile