Korzystanie z narzędzi administracyjnych Edge i interfejsów API po włączeniu SAML

Edge for Private Cloud w wersji 4.18.01

W tej sekcji opisaliśmy, jak po włączeniu protokołu SAML uruchamiać narzędzia administracyjne systemu Edge i odpowiednie polecenia. Wiele zadań na Edge wymaga danych logowania administratora systemu, takich jak:

  • Tworzenie organizacji i środowisk
  • Dodawanie i usuwanie komponentów Edge
  • Polecenia Runngin apigee-adminapi.sh
  • wiele innych zadań

Jednak po włączeniu SAML w Edge zazwyczaj wyłącza się uwierzytelnianie podstawowe, dzięki czemu jedyny sposób uwierzytelnienie odbywa się z użyciem dostawcy tożsamości SAML. Dlatego musisz się upewnić, że została dodana konta administratora systemu z dostawcą tożsamości SAML.

Wywoływanie interfejsów Edge Management API jako administrator systemu

Wiele wywołań interfejsu Edge API wymaga podania danych logowania administratora systemu. Korzystanie z protokołu SAML w ramach interfejsu Edge management API zawiera instrukcje uzyskiwania i odświeżania tokenów podczas wywoływania interfejsu Edge management API.

Używanie narzędzia apigee-adminapi.sh z uwierzytelnianiem SAML

Użyj narzędzia apigee-adminapi.sh do wykonywania tych samych zadań konfiguracji Edge, które wykonujesz, wykonując wywołania interfejsu Edge Management API. Zaletą narzędzia apigee-adminapi.sh jest to, że:

  • Używanie prostego interfejsu wiersza poleceń
  • Wprowadza autouzupełnianie poleceń po naciśnięciu tabulatora
  • Zapewnia pomoc i informacje na temat użytkowania
  • Może wyświetlać odpowiednie wywołanie interfejsu API, jeśli zdecydujesz się wypróbować interfejs API

Więcej informacji znajdziesz w artykule Korzystanie z apigee-ssoadminapi.sh.

Po włączeniu uwierzytelniania SAML możesz przekazać administratora systemu na kilka sposobów dane logowania do narzędzia apigee-adminapi.sh.

Możesz wyświetlić wszystkie opcje dowolnego polecenia apigee-adminapi.sh, w tym opcje określania poświadczeń SAML, używając opcji „-h” w poleceniu. Przykład:

> apigee-adminapi.sh orgs list -h

Możesz na przykład przekazać dane logowania administratora systemu:

> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword 

gdzie:

  • sso-url określa adres URL modułu logowania jednokrotnego Edge. Jeśli port lub protokół został zmieniony z 9099, a następnie HTTP.
  • oauth-flow określa jedną z tych wartości: passcode lub password_grant. W tym przykładzie wpisz password_grant.
  • adminEmail to adres e-mail administratora systemu.
  • oauth-password określa hasło administratora sys.

Możesz też użyć kodu dostępu, gdy wywołujesz polecenie:

> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode 

gdzie:

  • oauth-flow określa kod dostępu.
  • oauth-passcode określa kod dostępu uzyskany ze strony http://edge_sso_IP_DNS:9099/passcode.

Na koniec możesz użyć tokena podczas wywoływania polecenia:

> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token 

gdzie:

  • oauth-flow określa jedną z tych wartości: passcode lub password_grant. pierwotnie uzyskano token. W tym przykładzie podajesz passcode, ponieważ token został pierwotnie uzyskany za pomocą funkcji get_token. Zobacz Używanie SAML z interfejsem Edge Management API
  • Parametr oauh_token zawiera token.

Używanie narzędzi Edge z SAML uwierzytelnienie

Wiele narzędzi Edge wymaga danych logowania administratora systemu, takich jak:

  • apigee-provision służy do tworzenia organizacji, środowisk i hostów wirtualnych.
  • setup.sh służy do dodawania węzłów do istniejącego systemu.
  • Wszelkie inne narzędzia, w których musisz podać dane logowania administratora systemu w konfiguracji plik

Te narzędzia przyjmują jako dane wejściowe plik konfiguracji, który określa dane logowania administratora systemu za pomocą tych właściwości:

ADMIN_EMAIL="adminEmail"
APIGEE_ADMINPW=adminPWord

Jeśli pominiesz hasło, pojawi się prośba o jego podanie.

Po włączeniu SAML należy używać różnych właściwości do określania danych logowania administratora systemu sys. Możesz na przykład przekazać dane logowania administratora systemu:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=password_grant
OAUTH_ADMIN_PASSWORD=adminPWord

gdzie:

  • SSO_LOGIN_URL określa adres URL modułu logowania jednokrotnego Edge. Jeśli port lub protokół został zmieniony z 9099, a następnie HTTP.
  • OAUTH_FLOW określa wartość passcode lub password_grant. W tym przykładzie podajesz parametr password_grant, ponieważ przekazujesz hasło administratora systemu.
  • OAUTH_ADMIN_PASSWORD: określa hasło administratora systemu.

Możesz też użyć tych właściwości, aby określić poświadczenia w ramach procesu logowania za pomocą kodu dostępu:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_ADMIN_PASSCODE=passcode

gdzie:

  • OAUTH_FLOW określa hasło.
  • OAUTH_ADMIN_PASSCODE określa hasło uzyskane z http://edge_sso_IP_DNS:9099/passcode.

Możesz też użyć tokena

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_BEARER_TOKEN=token

gdzie:

  • OAUTH_FLOW określa wartość passcode lub password_grant, w zależności od tego, w jaki sposób uzyskano token. W tym przykładzie podajesz kod dostępu, bo pierwotnie otrzymano za pomocą polecenia get_token. Zobacz Używanie SAML z interfejsem Edge Management API
  • Parametr OAUTH_BEARER_TOKEN zawiera token.