Edge for Private Cloud v4.18.01
このセクションでは、SAML を有効にした後に Edge のシステム管理ツールとコマンドを実行する方法について説明します。 次に示すような Edge の多くのタスクでは、システム管理の認証情報が必要になります。
- 組織と環境の作成
- Edge コンポーネントの追加と削除
- apngee-adminapi.sh コマンドの実行
- その他の多くのタスク
ただし、Edge で SAML を有効にすると、通常は Basic 認証が無効になるため、唯一の認証方法は SAML IDP となります。したがって、SAML IDP にシステム管理者アカウントを必ず追加しておく必要があります。
Edge Management API を呼び出して、 システム管理者
多くの Edge API 呼び出しでは、システム管理者の認証情報を渡す必要があります。Edge Management API での SAML の使用では、Edge Management API 呼び出しを行う際のトークン取得方法とトークン更新方法が説明されています。
apigee-adminapi.sh の使用 SAML 認証を使用するユーティリティ
Edge Management API を呼び出して実施する場合と同じ Edge 構成タスクを、apigee-adminapi.sh ユーティリティを使用して実施します。apigee-adminapi.sh ユーティリティの利点は次のとおりです。
- シンプルなコマンドライン インターフェースを使用できる。
- タブベースのコマンド補完が実装される。
- ヘルプと使用方法の情報が提供される。
- API を試したい場合、対応する API 呼び出しを表示できる。
詳細については、apigee-ssoadminapi.sh の使用をご覧ください。
SAML 認証を有効にした後、いくつかの方法でシステム管理者を認証 apigee-adminapi.sh ユーティリティに認証情報が送信されます。
以下を含む、apigee-adminapi.sh コマンドのすべてのオプションを確認できます。 オプション(例: 「-h」オプションを使用します。次に例を示します。
> apigee-adminapi.sh orgs list -h
たとえば、次のようにシステム管理者の認証情報を渡すことができます。
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword
ここで
- sso-url には、URL を指定します 学びます。ポートまたはプロトコルを 9099 から変更した場合は、そのポートまたはプロトコルを変更します。 できます。
- oauth-flow には、passcode または password_grant を指定します。この例では、password_grant を指定します。
- adminEmail は、システム管理者のメールアドレスです。
- oauth-password には、システム管理者のパスワードを指定します。
または、コマンドを呼び出すときにパスコードを使用することもできます。
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode
ここで
- oauth-flow には passcode を指定します。
- oauth-passcode には、http://edge_sso_IP_DNS:9099/passcode. から取得したパスコードを指定します。
最後に、コマンドを呼び出すときにトークンを使用できます。
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token
ここで
- oauth-flow では、 passcode または password_grant( トークンを取得しています。この例では、passcode を指定します。 get_token を使用してトークンを取得します。詳しくは、 Edge 管理 API で SAML を使用する。
- oauh_token には、 あります。
SAML 認証で Edge ユーティリティを使用する
次に示すような多くの Edge ユーティリティでは、システム管理者の認証情報が必要です。
- 組織、環境、仮想ホストの作成に使用される apigee-provision
- 既存のシステムにノードを追加するために使用した setup.sh
- 構成でシステム管理者の認証情報を指定する必要があるその他のユーティリティ ファイル
これらのユーティリティは、構成ファイルを入力として受け取ります。このファイルには、システム管理者の 次のプロパティを使用します。
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
パスワードを省略すると、パスワードの入力を求められます。
SAML を有効にすることで、さまざまなプロパティを使用してシステム管理者の認証情報を指定できます。たとえば、次のようにシステム管理者の認証情報を渡すことができます。
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
ここで
- SSO_LOGIN_URL には、Edge SSO モジュールの URL を指定します。ポートまたはプロトコルを 9099 から変更した場合は、そのポートまたはプロトコルを変更します。 できます。
- OAUTH_FLOW には、passcode または password_grant を指定します。この例では、 password_grant を指定するのは、 システム管理者のパスワードが渡されます。
- OAUTH_ADMIN_PASSWORD システム管理者のパスワードを指定します。
次のプロパティを使用して、パスコード フローの一部として認証情報を指定することもできます。
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
ここで
- OAUTH_FLOW には passcode を指定します。
- OAUTH_ADMIN_PASSCODE には、http://edge_sso_IP_DNS:9099/passcode. から取得したパスコードを指定します。
最後に、トークンを使用して
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
ここで
- OAUTH_FLOW には、トークンを取得した方法に応じて、passcode または password_grant を指定します。この例では、最初に get_token を使用してトークンを取得したため、passcode を指定します。詳しくは、 Edge 管理 API で SAML を使用する。
- OAUTH_BEARER_TOKEN には、トークンを指定します。