Utiliser SAML avec des tâches automatisées

Edge for Private Cloud v4.18.01

Lorsque vous utilisez SAML avec l'API Edge, le processus que vous utilisez pour obtenir des jetons d'accès et d'actualisation OAuth2 à partir de l'assertion SAML est appelé flux de code secret. Avec le flux de code secret, vous utilisez un navigateur pour obtenir un code secret à usage unique qui vous permet ensuite d'obtenir des jetons OAuth2.

Cependant, votre environnement de développement peut accepter l'automatisation pour des tâches de développement courantes, telles que l'automatisation des tests ou l'intégration continue/le déploiement continu (CI/CD). Pour automatiser ces tâches lorsque SAML est activé, vous avez besoin d'un moyen d'obtenir et d'actualiser les jetons OAuth2 sans avoir à copier-coller un code secret depuis un navigateur.

Edge prend en charge la génération automatisée de jetons via l'utilisation d'utilisateurs machine. Un utilisateur de machine peut obtenir des jetons OAuth2 sans avoir à spécifier de code secret. Cela signifie que vous pouvez automatiser entièrement le processus d'obtention et d'actualisation des jetons OAuth2 à l'aide de l'API de gestion Edge.

Créer un utilisateur machine

Utilisez l'utilitaire apigee-ssoadminapi.sh pour créer un utilisateur machine pour une organisation SAML. Pour en savoir plus, consultez la section Utiliser apigee-ssoadminapi.sh. Vous pouvez créer un seul utilisateur machine pour toutes vos organisations ou un utilisateur distinct pour chaque organisation.

L'utilisateur machine est créé et stocké dans le datastore Edge, et non dans votre fournisseur d'identité SAML. Par conséquent, vous n'êtes pas responsable de la maintenance de l'utilisateur de la machine en utilisant Edge Ui et l'API de gestion Edge.

Lorsque vous créez l'utilisateur machine, vous devez spécifier une adresse e-mail et un mot de passe. Après avoir créé l'utilisateur de la machine, vous l'attribuez à une ou plusieurs organisations.

Pour créer un utilisateur machine:

  1. Utilisez la commande apigee-ssoadminapi.sh pour créer l'utilisateur machine:
    > apigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME --secret SSO_ADMIN_SECRET --host edge_sso_IP_or_DNS -u machine_user_email :
    _p

    • SSO_ADMIN_NAME est le nom d'utilisateur de l'administrateur défini par la propriété SSO_ADMIN_NAME du fichier de configuration utilisé pour configurer le module SSO Edge. La valeur par défaut est ssoadmin.
    • SSO_ADMIN_SECRET correspond au mot de passe d'administrateur spécifié par la propriété SSO_ADMIN_SECRET dans le fichier de configuration.

      Dans cet exemple, vous pouvez omettre les valeurs de --port et --ssl, car le module apigee-sso utilise les valeurs par défaut 9 099 pour --port et http pour --ssl. Si votre installation n'utilise pas ces valeurs par défaut, spécifiez-les de manière appropriée.
  2. Connectez-vous à l'interface utilisateur Edge, ajoutez l'adresse e-mail de l'utilisateur de la machine à vos organisations et attribuez-lui le rôle nécessaire. Pour en savoir plus, consultez la section Ajouter des utilisateurs mondiaux.

Obtenir et actualiser le jeton utilisateur machine

Utilisez l'API Edge pour obtenir et actualiser des jetons OAuth2 en transmettant les identifiants de l'utilisateur de la machine, plutôt qu'un code secret.

Pour obtenir des jetons OAuth2 pour l'utilisateur de la machine:

  1. Utilisez l'appel d'API suivant pour générer les jetons d'accès et d'actualisation initial :
    > curl -H "Content-Type: application/x-www-form-urlcoded;charset=utf-8" /
    -H "accept: application/json;charset=utf-8" /
    -H"Authorization: Basic ZWRnZWNsaTpc0" Vdl-Note2x


    edge_sso_IP_DNS
    L'appel imprime les jetons d'accès et d'actualisation à l'écran. Enregistrez les jetons pour une utilisation ultérieure.
  2. Transmettez le jeton d'accès à un appel d'API de gestion Edge en tant qu'en-tête de support:
    > curl -H "Authorization: Bearer access_token" http://ms_IP_DNS:8080/v1/organizations/orgName


    orgName est le nom de l'organisation contenant l'utilisateur de la machine.
  3. Pour actualiser le jeton d'accès ultérieurement, utilisez l'appel suivant qui inclut le jeton d'actualisation :
    > curl -H"Content-Type:application/x-www-form-urlcoded;charset=utf-8 " /
    -H"Accept: application/json;charset=utf-8" /
    -H"Authorization: Basic ZWRpcZedgesaTX"


    edge_sso_IP_DNS

Créer un utilisateur machine à l'aide de l'API de gestion Edge

Vous pouvez créer un utilisateur machine à l'aide de l'API de gestion Edge au lieu de l'utilitaire apigee-ssoadminapi.sh. Pour créer un utilisateur machine, procédez comme suit:








  1. edge_sso_IP_DNS

    Cette commande affiche un jeton dont vous avez besoin pour effectuer l'appel suivant.
  2. Utilisez la commande cURL suivante pour créer l'utilisateur machine, en transmettant le jeton que vous avez reçu à l'étape précédente :
    > curl "http://edge_sso_IP_DNS:9099/Users" -i -X POST /
    -H "Accept: application/json" -H "Content-Type: application/json :" /
    earName" '


  3. Connectez-vous à l'interface utilisateur Edge, ajoutez l'adresse e-mail de l'utilisateur de la machine à vos organisations et attribuez-lui le rôle nécessaire. Pour en savoir plus, consultez la section Ajouter des utilisateurs mondiaux.