Edge para la nube privada v4.18.05
El portal de servicios para desarrolladores de Apigee (o simplemente, el portal) actúa como cliente de Apigee Edge. Esto significa que el portal no funciona como un sistema independiente. En cambio, gran parte de la información que usa el portal se almacena en Edge. Cuando sea necesario, el portal realizará una solicitud para recuperar información de Edge o enviarle información.
El portal siempre está asociado con una sola organización de Edge. Cuando configures el portal, puedes especificar las credenciales de autenticación básicas (nombre de usuario y contraseña) para una cuenta en la organización que el portal usa para comunicarse con Edge.
Si decides habilitar SAML para la autenticación de Edge, puedes configurar el portal para que use la autenticación de SAML cuando realices solicitudes a Edge. Cuando configuras el portal para usar SAML, se crea automáticamente una nueva cuenta de usuario de máquina en la organización de Edge que el portal usa para realizar solicitudes a Edge. Para obtener más información sobre los usuarios de máquinas, consulta Cómo usar SAML con tareas automatizadas.
La compatibilidad con SAML para el portal requiere que ya hayas instalado y configurado el módulo de SSO de Edge en el nodo del servidor de administración de Edge. El proceso general para habilitar SAML para el portal es el siguiente:
- Configura SAML en Edge como se describe en Instalación y configuración de SAML para Edge. Nota: La autenticación básica debe estar habilitada en Edge para instalar el portal. No inhabilites la autenticación básica en Edge hasta que hayas configurado el portal para usar SAML.
- Instala el portal y asegúrate de que funcione correctamente. Consulta Cómo instalar el portal de Edge para la nube privada.
- Configura SAML en el portal.
- Ahora puedes inhabilitar la autenticación básica en Edge.
Crea un usuario de máquina para el portal
Cuando SAML está habilitado, Edge admite la generación automática de tokens de OAuth2 a través del uso de usuarios de máquinas. Un usuario de máquina puede obtener tokens de OAuth2 sin tener que especificar una contraseña. Esto significa que puedes automatizar por completo el proceso de obtención y actualización de los tokens de OAuth2.
El proceso de configuración de SAML para el portal crea automáticamente un usuario de máquina en la organización asociada con el portal. Luego, el portal usa esta cuenta de usuario de la máquina para conectarse a Edge. Para obtener más información sobre los usuarios de máquinas, consulta Cómo usar SAML con tareas automatizadas.
Acerca de la autenticación de las cuentas de desarrollador del portal
Cuando configuras el portal para que use SAML, habilitas que el portal use SAML para autenticarse con Edge, de modo que pueda realizar solicitudes a Edge. Sin embargo, el portal también admite un tipo de usuario llamado desarrolladores.
Los desarrolladores conforman la comunidad de usuarios que compilan apps con tus APIs. Los desarrolladores de apps usan el portal para obtener información sobre tus APIs, registrar apps que las usan, interactuar con la comunidad de desarrolladores y ver información estadística sobre el uso de sus apps en un panel.
Cuando un desarrollador accede al portal, este es el responsable de autenticarlo y de aplicar los permisos basados en roles. El portal seguirá usando la autenticación básica con los desarrolladores, incluso después de habilitar SAML entre el portal y Edge. Para obtener más información, consulta Comunicación entre el portal y Edge.
También es posible configurar el portal para que use SAML para autenticar a los desarrolladores. Para ver un ejemplo sobre cómo habilitar SAML con módulos de Drupal de terceros, consulta Integración de SSO a través de SAML con el portal para desarrolladores.
Configura SAML en el portal para que se comunique con Edge
Para configurar SAML para el portal, debes crear un archivo de configuración:
# IP address of Edge Management Server and apigee-sso node. IP1=22.222.22.222 # URL of Edge management API. MGMT_URL=http://$IP1:8080/v1 # Org associated with the portal. EDGE_ORG=myorg # Information about apigee-sso. # Externally accessible IP or DNS of apigee-sso. SSO_PUBLIC_URL_HOSTNAME=$IP1 SSO_PUBLIC_URL_PORT=9099 # Default is http. Set to https if you enabled TLS on apigee-sso. SSO_PUBLIC_URL_SCHEME=http # SSO admin credentials as set when you installed apigee-sso. SSO_ADMIN_NAME=ssoadmin SSO_ADMIN_SECRET=Secret123 # Default is "n" to disable SAML support. DEVPORTAL_SSO_ENABLED=y # The name of the OAuth client used to connect to apigee-sso. # The default client name is portalcli. PORTALCLI_SSO_CLIENT_NAME=portalcli # Oauth client password using uppercase, lowercase, number, and special chars. PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1 # Email address and user info for the machine user created in # the Edge org specified above by EDGE_ORG. # This account is used by the portal to make requests to Edge. # Add this email as an org admin before configuring the portal to use SAML. DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com DEVPORTAL_ADMIN_FIRSTNAME=DevPortal DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin DEVPORTAL_ADMIN_PWD=Abcdefg@1 # If set, the existing portal OAuth client is deleted and new one is created. # The default value is "n". # Set to "y" when you configure SAML and change the value of # any of the PORTALCLI_* properties. PORTALCLI_SSO_CLIENT_OVERWRITE=y
Para habilitar la compatibilidad con SAML en el portal, sigue estos pasos:
- En la IU de Edge, agrega el usuario de la máquina que especifica
DEVPORTAL_ADMIN_EMAILa la organización asociada con el portal como administrador de la organización. - Ejecuta el siguiente comando para configurar SAML en el portal:
/opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f samlConfigFile
En el que samlConfigFile es el archivo de configuración de SAML.
- Accede al portal como administrador.
- En el menú principal de Drupal, selecciona Configuración > Portal para desarrolladores. Aparecerá la pantalla de configuración del portal, incluida la configuración de SAML:
Ten en cuenta que se marcó la casilla Esta organización está habilitada para SAML, se completó el extremo del módulo de SSO de Edge, se completaron los campos Clave de API y Secreto del consumidor para el cliente de Oauth del portal, y aparece el mensaje Connection Successful debajo del botón Test Connection.
- Puedes presionar el botón Test Connection para volver a probar la conexión en cualquier momento.
Para cambiar estos valores más adelante, actualiza el archivo de configuración y vuelve a ejecutar el comando.
Inhabilita SAML en el portal
Si decides inhabilitar SAML para las comunicaciones entre el portal y Edge, este ya no podrá realizar solicitudes a Edge. Los desarrolladores pueden acceder al portal, pero no podrán ver productos ni crear apps.
Para inhabilitar SAML en el portal, haz lo siguiente:
- Edita el archivo de configuración que usaste para configurar SAM y establece lo siguiente:
DEVPORTAL_SSO_ENABLED=n
- Configura el portal:
/opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile