Edge для частного облака v4.18.01
В этом разделе описывается, как запускать инструменты и команды системного администратора Edge после включения SAML. Для многих задач в Edge требуются учетные данные системного администратора, например:
- Создание организаций и сред
- Добавление и удаление компонентов Edge
- Запуск команд apigee-adminapi.sh
- много других задач
Однако после включения SAML на Edge вы обычно отключаете базовую аутентификацию, так что единственный способ аутентификации — через SAML IDP. Поэтому вы должны убедиться, что вы добавили учетную запись системного администратора в свой SAML IDP.
Вызов API управления Edge от имени системного администратора
Многие вызовы Edge API требуют, чтобы вы передали учетные данные системного администратора. Использование SAML с API управления Edge содержит инструкции о том, как получать и обновлять токены при выполнении вызовов API управления Edge.
Использование утилиты apigee-adminapi.sh с аутентификацией SAML
Используйте утилиту apigee-adminapi.sh для выполнения тех же задач по настройке Edge, которые вы выполняете, вызывая API управления Edge. Преимущество утилиты apigee-adminapi.sh заключается в том, что она:
- Используйте простой интерфейс командной строки
- Реализует завершение команд на основе табуляции.
- Предоставляет справку и информацию об использовании.
- Может отображать соответствующий вызов API, если вы решите попробовать API.
Дополнительные сведения см. в разделе Использование apigee-ssoadminapi.sh .
После включения аутентификации SAML у вас есть несколько способов передать учетные данные системного администратора утилите apigee-adminapi.sh .
Вы можете просмотреть все параметры любой команды apigee-adminapi.sh , включая параметры указания учетных данных SAML, используя параметр «-h» команды. Например:
> apigee-adminapi.sh orgs list -h
Например, вы можете передать учетные данные системного администратора:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant --admin adminEmail --oauth-password adminPword
где:
- sso-url указывает URL-адрес модуля Edge SSO. Измените порт или протокол, если вы изменили их с 9099 и HTTP.
- oauth-flow указывает либо пароль , либо пароль_грант . В этом примере вы указываете пароль_грант .
- adminEmail — адрес электронной почты системного администратора.
- oauth-password указывает пароль системного администратора .
Альтернативно вы можете использовать пароль при вызове команды:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-passcode passcode
где:
- oauth-flow указывает пароль .
- oauth-passcode указывает пароль, полученный из http:// edge_sso_IP_DNS :9099/passcode.
Наконец, вы можете использовать токен при вызове команды:
> apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode --admin adminEmail --oauth-token token
где:
- oauth-flow указывает либо пароль , либо пароль_грант , в зависимости от того, как вы изначально получили токен. В этом примере вы указываете пароль , поскольку изначально получили токен с помощью get_token . См. Использование SAML с API управления Edge .
- oauh_token содержит токен.
Использование утилит Edge с аутентификацией SAML
Многим утилитам Edge требуются учетные данные системного администратора, например:
- apigee-provision, используемый для создания организаций, сред и виртуальных хостов
- setup.sh используется для добавления узлов в существующую систему
- Любая другая утилита, в которой вам необходимо указать учетные данные системного администратора в файле конфигурации.
Эти утилиты принимают в качестве входных данных файл конфигурации, в котором указаны учетные данные системного администратора с использованием свойств:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Если вы опустите пароль, вам будет предложено его ввести.
После включения SAML вы используете различные свойства для указания учетных данных системного администратора. Например, вы можете передать учетные данные системного администратора:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
где:
- SSO_LOGIN_URL указывает URL-адрес модуля Edge SSO. Измените порт или протокол, если вы изменили их с 9099 и HTTP.
- OAUTH_FLOW указывает либо код доступа , либо пароль_грант . В этом примере вы указываете пароль_грант, поскольку передаете пароль системного администратора.
- OAUTH_ADMIN_PASSWORD указывает пароль системного администратора .
Альтернативно вы можете использовать следующие свойства, чтобы указать учетные данные как часть потока пароля:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
где:
- OAUTH_FLOW указывает пароль .
- OAUTH_ADMIN_PASSCODE указывает пароль, полученный из http:// edge_sso_IP_DNS :9099/passcode.
Наконец, вы можете использовать токен
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
где:
- OAUTH_FLOW указывает либо пароль , либо пароль_грант , в зависимости от того, как вы изначально получили токен. В этом примере вы указываете пароль , поскольку изначально получили токен с помощью get_token . См. Использование SAML с API управления Edge .
- OAUTH_BEARER_TOKEN содержит токен.