Edge для частного облака v4.18.05
Портал Apigee Developer Services (или просто портал ) выступает в роли клиента Apigee Edge. Это означает, что портал не функционирует как автономная система. Вместо этого большая часть информации, используемой порталом, фактически хранится в Edge. При необходимости портал делает запрос на получение информации из Edge или отправку информации в Edge.
Портал всегда связан с одной организацией Edge. При настройке портала вы можете указать базовые учетные данные аутентификации (имя пользователя и пароль) для учетной записи в организации, которую портал использует для связи с Edge.
Если вы решите включить SAML для аутентификации Edge, вы сможете настроить портал на использование аутентификации SAML при отправке запросов к Edge. При настройке портала на использование SAML автоматически создается новая учетная запись пользователя компьютера в организации Edge, которую портал затем использует для отправки запросов в Edge. Дополнительную информацию о пользователях компьютеров см. в разделе Использование SAML с автоматизированными задачами .
Для поддержки SAML на портале необходимо, чтобы вы уже установили и настроили модуль Edge SSO на узле Edge Management Server. Общий процесс включения SAML для портала:
- Настройте SAML на Edge, как описано в разделе Установка и настройка SAML для Edge . Примечание . Для установки портала базовая аутентификация по-прежнему должна быть включена в Edge. Не отключайте базовую аутентификацию на Edge до тех пор, пока вы не настроите портал на использование SAML.
- Установите портал и убедитесь, что ваша установка работает правильно. См. раздел Установка портала Edge for Private Cloud .
- Настройте SAML на портале.
- Теперь вы можете отключить базовую аутентификацию на Edge.
Создание пользователя компьютера для портала
Когда SAML включен, Edge поддерживает автоматическую генерацию токенов OAuth2 с помощью пользователей компьютеров . Пользователь компьютера может получить токены OAuth2 без необходимости указывать пароль. Это означает, что вы можете полностью автоматизировать процесс получения и обновления токенов OAuth2.
Процесс настройки SAML для портала автоматически создает пользователя компьютера в организации, связанной с порталом. Затем портал использует эту учетную запись пользователя компьютера для подключения к Edge. Дополнительную информацию о пользователях компьютеров см. в разделе Использование SAML с автоматизированными задачами .
Об аутентификации для учетных записей разработчиков портала
Когда вы настраиваете портал для использования SAML, вы разрешаете порталу использовать SAML для аутентификации в Edge, чтобы портал мог отправлять запросы в Edge. Однако портал также поддерживает тип пользователей, называемых разработчиками .
Разработчики составляют сообщество пользователей, которые создают приложения с использованием ваших API. Разработчики приложений используют портал, чтобы узнать о ваших API, зарегистрировать приложения, использующие ваши API, взаимодействовать с сообществом разработчиков и просматривать статистическую информацию об использовании своих приложений на информационной панели.
Когда разработчик входит на портал, именно портал отвечает за аутентификацию разработчика и соблюдение разрешений на основе ролей. Портал продолжает использовать базовую аутентификацию для разработчиков даже после включения SAML между порталом и Edge. Дополнительные сведения см. в разделе «Взаимодействие между порталом и Edge» .
Также можно настроить портал на использование SAML для аутентификации разработчиков. Пример включения SAML с использованием сторонних модулей Drupal см. в разделе Интеграция единого входа через SAML с порталом разработчика .
Настройте SAML на портале для связи с Edge.
Чтобы настроить SAML для портала, необходимо создать файл конфигурации для настройки портала:
# IP address of Edge Management Server and apigee-sso node. IP1=22.222.22.222 # URL of Edge management API. MGMT_URL=http://$IP1:8080/v1 # Org associated with the portal. EDGE_ORG=myorg # Information about apigee-sso. # Externally accessible IP or DNS of apigee-sso. SSO_PUBLIC_URL_HOSTNAME=$IP1 SSO_PUBLIC_URL_PORT=9099 # Default is http. Set to https if you enabled TLS on apigee-sso. SSO_PUBLIC_URL_SCHEME=http # SSO admin credentials as set when you installed apigee-sso. SSO_ADMIN_NAME=ssoadmin SSO_ADMIN_SECRET=Secret123 # Default is "n" to disable SAML support. DEVPORTAL_SSO_ENABLED=y # The name of the OAuth client used to connect to apigee-sso. # The default client name is portalcli. PORTALCLI_SSO_CLIENT_NAME=portalcli # Oauth client password using uppercase, lowercase, number, and special chars. PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1 # Email address and user info for the machine user created in # the Edge org specified above by EDGE_ORG. # This account is used by the portal to make requests to Edge. # Add this email as an org admin before configuring the portal to use SAML. DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com DEVPORTAL_ADMIN_FIRSTNAME=DevPortal DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin DEVPORTAL_ADMIN_PWD=Abcdefg@1 # If set, the existing portal OAuth client is deleted and new one is created. # The default value is "n". # Set to "y" when you configure SAML and change the value of # any of the PORTALCLI_* properties. PORTALCLI_SSO_CLIENT_OVERWRITE=y
Чтобы включить поддержку SAML на портале:
- В пользовательском интерфейсе Edge добавьте пользователя компьютера, указанного
DEVPORTAL_ADMIN_EMAIL, в организацию, связанную с порталом, в качестве администратора организации . - Выполните следующую команду, чтобы настроить SAML на портале:
/opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f samlConfigFile
Где samlConfigFile — файл конфигурации SAML.
- Войдите на портал как администратор портала.
- В главном меню Drupal выберите Configuration > Dev Portal . Появится экран конфигурации портала, включая настройки SAML:
Обратите внимание, что флажок «Эта организация поддерживает SAML» установлен, конечная точка для модуля Edge SSO заполнена, поля «Ключ API» и «Секрет потребителя» для клиента Oauth портала заполнены, а под полем «Тест» отображается сообщение « Соединение успешно выполнено». Кнопка подключения .
- Вы можете нажать кнопку «Проверить соединение» , чтобы повторно проверить соединение в любое время.
Чтобы позже изменить эти значения, обновите файл конфигурации и снова запустите команду.
Отключить SAML на портале
Если вы решите отключить SAML для связи между порталом и Edge, портал больше не сможет отправлять запросы к Edge. Разработчики могут войти на портал, но не смогут просматривать продукты или создавать приложения.
Чтобы отключить SAML на портале:
- Отредактируйте файл конфигурации, который вы использовали для настройки SAM, чтобы установить:
DEVPORTAL_SSO_ENABLED=n
- Настройте портал:
/opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile