Edge for Private Cloud w wersji 4.18.01
W tej sekcji opisaliśmy, jak po włączeniu protokołu SAML uruchamiać narzędzia administracyjne systemu Edge i odpowiednie polecenia. Wiele zadań na Edge wymaga danych logowania administratora systemu, takich jak:
- Tworzenie organizacji i środowisk
- Dodawanie i usuwanie komponentów Edge
- Polecenia Runngin apigee-adminapi.sh
- wiele innych zadań
Jednak po włączeniu SAML w Edge zazwyczaj wyłącza się uwierzytelnianie podstawowe, dzięki czemu jedyny sposób uwierzytelnienie odbywa się z użyciem dostawcy tożsamości SAML. Dlatego musisz się upewnić, że została dodana konta administratora systemu z dostawcą tożsamości SAML.
Wywoływanie interfejsów Edge Management API jako administrator systemu
Wiele wywołań interfejsu Edge API wymaga podania danych logowania administratora systemu. Korzystanie z protokołu SAML w ramach interfejsu Edge management API zawiera instrukcje uzyskiwania i odświeżania tokenów podczas wywoływania interfejsu Edge management API.
Używanie narzędzia apigee-adminapi.sh z uwierzytelnianiem SAML
Użyj narzędzia apigee-adminapi.sh do wykonywania tych samych zadań konfiguracji Edge, które wykonujesz, wykonując wywołania interfejsu Edge Management API. Zaletą narzędzia apigee-adminapi.sh jest to, że:
- Używanie prostego interfejsu wiersza poleceń
- Wprowadza autouzupełnianie poleceń po naciśnięciu tabulatora
- Zapewnia pomoc i informacje na temat użytkowania
- Może wyświetlać odpowiednie wywołanie interfejsu API, jeśli zdecydujesz się wypróbować interfejs API
Więcej informacji znajdziesz w artykule Korzystanie z apigee-ssoadminapi.sh.
Po włączeniu uwierzytelniania SAML możesz przekazać administratora systemu na kilka sposobów dane logowania do narzędzia apigee-adminapi.sh.
Możesz wyświetlić wszystkie opcje dowolnego polecenia apigee-adminapi.sh, w tym opcje określania poświadczeń SAML, używając opcji „-h” w poleceniu. Przykład:
> apigee-adminapi.sh orgs list -h
Możesz na przykład przekazać dane logowania administratora systemu:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword
gdzie:
- sso-url określa adres URL modułu logowania jednokrotnego Edge. Jeśli port lub protokół został zmieniony z 9099, a następnie HTTP.
- oauth-flow określa jedną z tych wartości: passcode lub password_grant. W tym przykładzie wpisz password_grant.
- adminEmail to adres e-mail administratora systemu.
- oauth-password określa hasło administratora sys.
Możesz też użyć kodu dostępu, gdy wywołujesz polecenie:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode
gdzie:
- oauth-flow określa kod dostępu.
- oauth-passcode określa kod dostępu uzyskany ze strony http://edge_sso_IP_DNS:9099/passcode.
Na koniec możesz użyć tokena podczas wywoływania polecenia:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token
gdzie:
- oauth-flow określa jedną z tych wartości: passcode lub password_grant. pierwotnie uzyskano token. W tym przykładzie podajesz passcode, ponieważ token został pierwotnie uzyskany za pomocą funkcji get_token. Zobacz Używanie SAML z interfejsem Edge Management API
- Parametr oauh_token zawiera token.
Używanie narzędzi Edge z SAML uwierzytelnienie
Wiele narzędzi Edge wymaga danych logowania administratora systemu, takich jak:
- apigee-provision służy do tworzenia organizacji, środowisk i hostów wirtualnych.
- setup.sh służy do dodawania węzłów do istniejącego systemu.
- Wszelkie inne narzędzia, w których musisz podać dane logowania administratora systemu w konfiguracji plik
Te narzędzia przyjmują jako dane wejściowe plik konfiguracji, który określa dane logowania administratora systemu za pomocą tych właściwości:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Jeśli pominiesz hasło, pojawi się prośba o jego podanie.
Po włączeniu SAML należy używać różnych właściwości do określania danych logowania administratora systemu sys. Możesz na przykład przekazać dane logowania administratora systemu:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
gdzie:
- SSO_LOGIN_URL określa adres URL modułu logowania jednokrotnego Edge. Jeśli port lub protokół został zmieniony z 9099, a następnie HTTP.
- OAUTH_FLOW określa wartość passcode lub password_grant. W tym przykładzie podajesz parametr password_grant, ponieważ przekazujesz hasło administratora systemu.
- OAUTH_ADMIN_PASSWORD: określa hasło administratora systemu.
Możesz też użyć tych właściwości, aby określić poświadczenia w ramach procesu logowania za pomocą kodu dostępu:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
gdzie:
- OAUTH_FLOW określa hasło.
- OAUTH_ADMIN_PASSCODE określa hasło uzyskane z http://edge_sso_IP_DNS:9099/passcode.
Możesz też użyć tokena
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
gdzie:
- OAUTH_FLOW określa wartość passcode lub password_grant, w zależności od tego, w jaki sposób uzyskano token. W tym przykładzie podajesz kod dostępu, bo pierwotnie otrzymano za pomocą polecenia get_token. Zobacz Używanie SAML z interfejsem Edge Management API
- Parametr OAUTH_BEARER_TOKEN zawiera token.