Sử dụng SAML với các tác vụ tự động

Edge cho đám mây riêng tư phiên bản 4.18.01

Khi dùng SAML với API Edge, quy trình mà bạn dùng để lấy quyền truy cập và làm mới OAuth2 qua mã xác nhận SAML được gọi là quy trình mật mã. Với quy trình mật mã, bạn sử dụng trình duyệt để lấy mật mã một lần, sau đó dùng để lấy mã thông báo OAuth2.

Tuy nhiên, môi trường phát triển của bạn có thể hỗ trợ tính năng tự động hoá cho các tác vụ phát triển phổ biến, chẳng hạn như tự động kiểm thử hoặc Tích hợp liên tục/Triển khai liên tục (CI/CD). Để tự động hoá những tác vụ này khi tính năng SAML bật, bạn cần có một cách để lấy và làm mới mã thông báo OAuth2 mà không cần sao chép/dán mật mã trên trình duyệt.

Edge hỗ trợ việc tạo mã thông báo tự động thông qua sự sử dụng của người dùng máy. Người dùng máy có thể lấy mã thông báo OAuth2 mà không cần phải chỉ định mật mã. Điều đó có nghĩa là bạn có thể hoàn toàn tự động hoá quá trình lấy và làm mới mã thông báo OAuth2 bằng cách sử dụng Edge Management API (API Quản lý Edge).

Tạo người dùng bằng máy

Sử dụng tiện ích apigee-ssoadminapi.sh để tạo người dùng máy cho một tổ chức SAML. Hãy xem phần Sử dụng apigee-ssoadminapi.sh để biết thêm thông tin. Bạn có thể tạo một người dùng máy duy nhất cho tất cả tổ chức của mình sử dụng hoặc tạo một người dùng máy riêng cho từng tổ chức.

Người dùng máy được tạo và lưu trữ trong kho dữ liệu Edge, chứ không phải trong nhà cung cấp danh tính SAML của bạn. Do đó, bạn không có trách nhiệm duy trì người dùng máy bằng cách sử dụng Edge Ui và Edge Management API.

Khi tạo người dùng máy, bạn phải chỉ định một địa chỉ email và mật khẩu. Sau khi tạo người dùng máy, bạn chỉ định người dùng đó cho một hoặc nhiều tổ chức.

Cách tạo người dùng trên máy:

  1. Sử dụng lệnh apigee-ssoadminapi.sh sau đây để tạo người dùng máy:
    > apigee-ssoadminapi.sh saml người dùng máy thêm – quản trị viên SSO_ADMIN_NAME – bí mật SSO_ADMIN_SECRET – máy chủ edge_sso_IP_or_DNS -u Machine_user_p_email tên máy_người dùng

    • SSO_ADMIN_NAME là tên người dùng quản trị do thuộc tính SSO_ADMIN_NAME xác định trong tệp cấu hình dùng để định cấu hình mô-đun SSO của Edge. Tuỳ chọn mặc định là ssoadmin.
    • SSO_ADMIN_SECRET là mật khẩu quản trị viên do thuộc tính SSO_ADMIN_SECRET chỉ định trong tệp cấu hình, hãy làm như sau:

      Nếu chế độ cài đặt của bạn không sử dụng các giá trị mặc định này, hãy chỉ định chúng nếu thích hợp.
  2. Đăng nhập vào giao diện người dùng của Edge và thêm email của người dùng máy vào tổ chức của bạn, sau đó chỉ định vai trò cần thiết cho người dùng thiết bị đó. Hãy xem bài viết Thêm người dùng toàn cầu để biết thêm thông tin.

Lấy và làm mới mã thông báo người dùng của máy

Sử dụng Edge API để lấy và làm mới mã thông báo OAuth2 bằng cách truyền thông tin xác thực của người dùng trên máy, thay vì mật mã.

Cách lấy mã thông báo OAuth2 cho người dùng máy:

  1. Dùng lệnh gọi API sau đây để tạo mã truy cập ban đầu và làm mới:
    > curl -H "Content-Type: application/x-www-form-url encrypted;signer=utf-8" /
    -H "accept: application/json;json=utf-8" /
    -H "Proxy: ZWRn ZWNsaTplZGdlcmY2x" edge_sso_IP_DNS
    Lệnh gọi sẽ in mã truy cập và làm mới ra màn hình. Lưu mã thông báo để sử dụng sau.
  2. Truyền mã truy cập đến một lệnh gọi API Quản lý Edge dưới dạng tiêu đề mang tên mang:
    > curl -H "Authorize: Bearer access_token" http://ms_IP_DNS:8080/v1/organizations/orgName

    trong đó orgName là tên của tổ chức chứa người dùng máy.
  3. Để làm mới mã truy cập sau này, hãy sử dụng lệnh gọi sau đây bao gồm mã làm mới:
    > curl -H "Content-Type:application/x-www-form-url Hà




    edge_sso_IP_DNS

Tạo người dùng máy bằng cách sử dụng Edge Management API

Bạn có thể tạo một người dùng máy bằng cách sử dụng API Quản lý Edge thay vì dùng tiện ích apigee-ssoadminapi.sh. Cách tạo một người dùng bằng máy:

  1. "






    edge_sso_IP_DNS

    Lệnh này hiển thị một mã thông báo mà bạn cần thực hiện lệnh gọi tiếp theo.
  2. "Cần thiết lập người dùng cURL, "





    edge_sso_IP_DNS
  3. Đăng nhập vào giao diện người dùng của Edge và thêm email của người dùng máy vào tổ chức của bạn, sau đó chỉ định vai trò cần thiết cho người dùng thiết bị đó. Hãy xem bài viết Thêm người dùng toàn cầu để biết thêm thông tin.