Edge for Private Cloud v4.18.01
In diesem Abschnitt wird beschrieben, wie Sie Edge-Systemverwaltungstools und ‑befehle ausführen, nachdem Sie SAML aktiviert haben. Für viele Aufgaben in Edge sind Anmeldedaten für die Systemverwaltung erforderlich, z. B.:
- Organisationen und Umgebungen erstellen
- Hinzufügen und Entfernen von Edge-Komponenten
- Befehle von Apigee-adminapi.sh ausführen
- viele andere Aufgaben
Nachdem Sie SAML in Edge aktiviert haben, deaktivieren Sie jedoch in der Regel die Basisauthentifizierung, sodass die Authentifizierung nur über den SAML-IdP erfolgen kann. Achten Sie daher darauf, dass Sie das Systemadministratorkonto Ihrem SAML-IdP hinzugefügt haben.
Aufrufen von Edge-Management-APIs als Systemadministrator
Bei vielen Edge API-Aufrufen müssen Sie die Anmeldedaten des Systemadministrators übergeben. SAML mit der Edge Management API verwenden enthält eine Anleitung zum Abrufen und Aktualisieren von Tokens bei Edge Management API-Aufrufen.
Apigee-adminapi.sh verwenden mit SAML-Authentifizierung
Verwenden Sie apigee-adminapi.sh um dieselben Edge-Konfigurationsaufgaben auszuführen, die Sie durch Aufrufen an den Edge- Management API Das Dienstprogramm apigee-adminapi.sh bietet folgende Vorteile:
- Einfache Befehlszeile verwenden
- Tab-basierte Befehlsvervollständigung implementiert
- Bietet Hilfe und Informationen zur Nutzung
- Kann den entsprechenden API-Aufruf anzeigen, wenn Sie die API ausprobieren möchten
Weitere Informationen finden Sie unter apigee-ssoadminapi.sh verwenden.
Nachdem Sie die SAML-Authentifizierung aktiviert haben, haben Sie mehrere Möglichkeiten, die Anmeldedaten des Systemadministrators an das Dienstprogramm apigee-adminapi.sh zu übergeben.
Wenn Sie alle Optionen für einen apigee-adminapi.sh-Befehl aufrufen möchten, einschließlich der Optionen zum Angeben von SAML-Anmeldedaten, verwenden Sie die Option „-h“. Beispiel:
> apigee-adminapi.sh orgs list -h
Sie können beispielsweise die Anmeldedaten des Systemadministrators übergeben:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword
Dabei gilt:
- sso-url gibt die URL an. des Edge-SSO-Moduls. Ändern Sie den Port oder das Protokoll, wenn Sie von 9099 geändert haben und HTTP
- Für oauth-flow wird entweder passcode oder password_grant angegeben. In diesem Beispiel geben Sie password_grant an.
- adminEmail ist die E-Mail-Adresse des Systemadministrators.
- oauth-password gibt an: das Passwort des Sys-Admins.
Alternativ können Sie beim Aufrufen des Befehls einen Sicherheitscode verwenden:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode
Dabei gilt:
- oauth-flow gibt an: Sicherheitscode.
- oauth-passcode gibt den Sicherheitscode an, der von http://edge_sso_IP_DNS:9099/passcode abgerufen wurde.
Schließlich können Sie ein Token verwenden, wenn Sie den Befehl aufrufen:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token
Dabei gilt:
- oauth-flow gibt entweder passcode oder password_grant, je nachdem, das Token ursprünglich erhalten hat. In diesem Beispiel geben Sie einen Sicherheitscode an, da Sie den Token mithilfe von get_token. Weitere Informationen finden Sie unter Verwenden von SAML mit der Edge-Verwaltungs-API.
- oauh_token enthält das Token.
Edge-Dienstprogramme mit SAML-Authentifizierung verwenden
Viele Edge-Dienstprogramme erfordern Anmeldedaten des Systemadministrators, wie z. B.:
- apigee-provision zum Erstellen von Organisationen, Umgebungen und virtuellen Hosts
- setup.sh zum Hinzufügen von Knoten in einem bestehenden System
- Jedes andere Dienstprogramm, bei dem Sie die Anmeldedaten des Systemadministrators in einer Konfiguration angeben müssen Datei
Diese Dienstprogramme nehmen eine Konfigurationsdatei als Eingabe an, in der die Anmeldedaten des Systemadministrators mithilfe der folgenden Eigenschaften angegeben werden:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Wenn Sie das Passwort weglassen, werden Sie dazu aufgefordert.
Nachdem Sie SAML aktiviert haben, verwenden Sie verschiedene Eigenschaften, um die Anmeldedaten des Systemadministrators anzugeben. Für können Sie beispielsweise die Anmeldedaten des Systemadministrators übergeben:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
Dabei gilt:
- SSO_LOGIN_URL gibt die URL des Edge SSO-Moduls an. Ändern Sie den Port oder das Protokoll, falls Sie sie von 9099 und HTTP geändert haben.
- OAUTH_FLOW gibt entweder passcode oder password_grant In diesem Beispiel password_grant angeben, weil Sie übergeben das Passwort des Systemadministrators.
- OAUTH_ADMIN_PASSWORD gibt das Passwort des Systemadministrators an.
Alternativ können Sie die Anmeldedaten auch mithilfe der folgenden Properties als Teil eines Sicherheitscode-Ablaufs angeben:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
Dabei gilt:
- OAUTH_FLOW gibt passcode an.
- OAUTH_ADMIN_PASSCODE: Gibt den Sicherheitscode an, der von http://edge_sso_IP_DNS:9099/passcode abgerufen wurde.
Schließlich können Sie ein Token
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
Dabei gilt:
- OAUTH_FLOW gibt entweder passcode oder password_grant, je nachdem, das Token ursprünglich erhalten hat. In diesem Beispiel geben Sie passcode an, weil Sie das Token ursprünglich mit get_token abgerufen haben. Weitere Informationen finden Sie unter Verwenden von SAML mit der Edge-Verwaltungs-API.
- OAUTH_BEARER_TOKEN enthält das Token.