Edge for Private Cloud Version 4.18.01
In diesem Abschnitt wird beschrieben, wie Sie nach dem Aktivieren von SAML Tools und Befehle für die Edge-Systemverwaltung ausführen. Viele Aufgaben in Edge erfordern Anmeldedaten für die Systemadministration, z. B.:
- Organisationen und Umgebungen erstellen
- Edge-Komponenten hinzufügen und entfernen
- Befehle von apigee-adminapi.sh ausführen
- viele andere Aufgaben
Nachdem Sie jedoch SAML in Edge aktiviert haben, deaktivieren Sie in der Regel die Basisauthentifizierung, sodass die Authentifizierung nur über den SAML-IdP möglich ist. Daher müssen Sie dafür sorgen, dass Sie das Systemadministratorkonto Ihrem SAML-IdP hinzugefügt haben.
Edge-Verwaltungs-APIs als Systemadministrator aufrufen
Bei vielen Edge API-Aufrufen müssen Sie die Anmeldedaten des Systemadministrators übergeben. Unter SAML mit der Edge-Verwaltungs-API verwenden finden Sie eine Anleitung zum Abrufen und Aktualisieren von Tokens, wenn Edge-Verwaltungs-API-Aufrufe ausgeführt werden.
Dienstprogramm apigee-adminapi.sh mit SAML-Authentifizierung verwenden
Verwenden Sie das Dienstprogramm apigee-adminapi.sh, um die gleichen Edge-Konfigurationsaufgaben auszuführen, die Sie durch Aufrufe an die Edge-Verwaltungs-API ausführen. Der Vorteil des Dienstprogramms apigee-adminapi.sh besteht darin, dass es:
- Einfache Befehlszeile verwenden
- Implementiert die tabbasierte Befehlsvervollständigung
- Bietet Hilfe und Informationen zur Nutzung
- Der entsprechende API-Aufruf kann angezeigt werden, wenn du die API ausprobierst
Weitere Informationen finden Sie unter apigee-ssoadminapi.sh verwenden.
Nachdem Sie die SAML-Authentifizierung aktiviert haben, haben Sie mehrere Möglichkeiten, die Anmeldedaten des Systemadministrators an das Dienstprogramm apigee-adminapi.sh zu übergeben.
Sie können alle Optionen für jeden apigee-adminapi.sh-Befehl anzeigen, einschließlich der Optionen zum Angeben von SAML-Anmeldedaten. Verwenden Sie dazu die Option „-h“ im Befehl. Beispiel:
> apigee-adminapi.sh orgs list -h
Sie können beispielsweise die Anmeldedaten des Systemadministrators übergeben:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword
Dabei gilt:
- sso-url gibt die URL des Edge-SSO-Moduls an. Ändern Sie den Port oder das Protokoll, wenn Sie sie von 9099 und HTTP geändert haben.
- oauth-flow gibt entweder passcode oder password_grant an. In diesem Beispiel geben Sie password_grant an.
- adminEmail ist die E-Mail-Adresse des Systemadministrators.
- oauth-password gibt das Passwort des Systemadministrators an.
Alternativ können Sie beim Aufrufen des Befehls einen Sicherheitscode verwenden:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode
Dabei gilt:
- oauth-flow gibt den Passcode an.
- oauth-passcode gibt den Sicherheitscode von http://edge_sso_IP_DNS:9099/passcode an.
Schließlich können Sie beim Aufrufen des Befehls ein Token verwenden:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token
Dabei gilt:
- oauth-flow gibt entweder passcode oder password_grant an, je nachdem, wie Sie das Token ursprünglich erhalten haben. In diesem Beispiel geben Sie passcode an, da Sie das Token ursprünglich mit get_token erhalten haben. Weitere Informationen finden Sie unter SAML mit der Edge-Verwaltungs-API verwenden.
- oauh_token enthält das Token.
Edge-Dienstprogramme mit SAML-Authentifizierung verwenden
Viele Edge-Dienstprogramme erfordern Anmeldedaten des Systemadministrators, z. B.:
- apigee-provision zum Erstellen von Organisationen, Umgebungen und virtuellen Hosts verwendet
- setup.sh zum Hinzufügen von Knoten zu einem vorhandenen System
- Jedes andere Dienstprogramm, bei dem Sie die Anmeldedaten des Systemadministrators in einer Konfigurationsdatei angeben müssen
Diese Dienstprogramme verwenden als Eingabe eine Konfigurationsdatei, in der die Anmeldedaten des Systemadministrators mithilfe der Attribute angegeben werden:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Wenn Sie das Passwort weglassen, werden Sie aufgefordert, es einzugeben.
Nachdem Sie SAML aktiviert haben, verwenden Sie verschiedene Attribute, um die Anmeldedaten des Systemadministrators anzugeben. Sie können beispielsweise die Anmeldedaten des Systemadministrators übergeben:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
Dabei gilt:
- SSO_LOGIN_URL gibt die URL des Edge-SSO-Moduls an. Ändern Sie den Port oder das Protokoll, wenn Sie sie von 9099 und HTTP geändert haben.
- OAUTH_FLOW gibt entweder passcode oder password_grant an. In diesem Beispiel geben Sie password_grant an, da Sie das Passwort des Systemadministrators übergeben.
- OAUTH_ADMIN_PASSWORD gibt das Passwort des Systemadministrators anOAUTH_ADMIN_PASSWORD
Alternativ können Sie die folgenden Attribute verwenden, um die Anmeldedaten als Teil eines Sicherheitscodeablaufs anzugeben:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
Dabei gilt:
- OAUTH_FLOW gibt den Passcode an.
- OAUTH_ADMIN_PASSCODE gibt den von http://edge_sso_IP_DNS:9099/passcode abgerufenen Sicherheitscode an.
Schließlich können Sie ein Token
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
Dabei gilt:
- OAUTH_FLOW gibt entweder passcode oder password_grant an, je nachdem, wie du das Token ursprünglich erhalten hast. In diesem Beispiel geben Sie passcode an, da Sie das Token ursprünglich mit get_token erhalten haben. Weitere Informationen finden Sie unter SAML mit der Edge-Verwaltungs-API verwenden.
- OAUTH_BEARER_TOKEN enthält das Token.