配置门户以使用 SAML 与 Edge 通信

适用于私有云的 Edge v4.18.05

Apigee Developer Services 门户(简称门户)充当 Apigee Edge 的客户端,这意味着,该门户 作为一个独立的系统运行。实际上,门户网站使用的大部分信息 存储在 Edge 上。如有必要,门户会发出从 Edge 或 向 Edge 发送信息。

该门户始终与单个 Edge 组织相关联。配置 则可以为 账号。

如果您选择为 Edge 身份验证启用 SAML,则可以将该门户配置为使用 向 Edge 发出请求时进行 SAML 身份验证。将门户配置为使用 SAML 会在 Edge 组织中自动创建一个新的机器用户账号,然后该门户 来向 Edge 发出请求。如需详细了解计算机用户,请参阅将 SAML 与自动化任务搭配使用

此门户的 SAML 支持要求您已安装并配置 Edge SSO 模块。为 Cloud Storage 启用 SAML 的一般流程 是:

  1. 按照安装和配置 SAML Edge注意:在 Edge 上,仍需启用基本身份验证,才能安装 。在将门户配置为使用 SAML。
  2. 安装门户网站,确保您的安装工作正常。请参阅安装 Edge for Private Cloud 门户
  3. 在门户上配置 SAML。
  4. 您现在可以在 Edge 上停用基本身份验证。

为门户创建机器用户

启用 SAML 后,Edge 支持使用 机器用户。机器用户无需指定 密码。这意味着,您可以完全自动执行获取和刷新 OAuth2 的流程。 词元。

门户网站的 SAML 配置流程会自动在 组织和机构然后,门户会使用此机器用户账号 连接到 Edge。有关机器用户的更多信息,请参阅使用 SAML 与自动化任务结合使用

门户开发者身份验证简介 账号

将门户配置为使用 SAML 时,即表示您允许该门户使用 SAML 进行身份验证 以便门户可以向 Edge 发出请求。不过,该门户也支持 名叫开发者的用户。

开发者构成了使用 API 构建应用的用户社区。应用开发者 使用该门户了解您的 API、注册使用您的 API 的应用,以及与您的 API 交互 或查看开发者社区中有关其应用使用情况的统计信息 信息中心。

当开发者登录该门户时,该门户负责 对开发者进行身份验证并强制执行基于角色的权限。门户仍会继续 使用开发者进行基本身份验证,即使在门户和 Edge 之间启用了 SAML 也不例外。 有关详情,请参阅通过 在门户与 Edge 之间建立连接

您还可以将该门户配置为使用 SAML 对开发者进行身份验证。对于 有关使用第三方 Drupal 模块启用 SAML 的示例,请参阅 通过 SAML 与开发者门户集成单点登录

在门户上配置 SAML,以便 与 Edge 通信

如要为该门户配置 SAML,您必须创建配置文件来配置该门户:

# IP address of Edge Management Server and apigee-sso node.
IP1=22.222.22.222

# URL of Edge management API.
MGMT_URL=http://$IP1:8080/v1

# Org associated with the portal.
EDGE_ORG=myorg

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP1
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# Default is "n" to disable SAML support.
DEVPORTAL_SSO_ENABLED=y

# The name of the OAuth client used to connect to apigee-sso. 
# The default client name is portalcli.
PORTALCLI_SSO_CLIENT_NAME=portalcli
# Oauth client password using uppercase, lowercase, number, and special chars. 
PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1

# Email address and user info for the machine user created in 
# the Edge org specified above by EDGE_ORG. 
# This account is used by the portal to make requests to Edge.
# Add this email as an org admin before configuring the portal to use SAML. 
DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com
DEVPORTAL_ADMIN_FIRSTNAME=DevPortal
DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin
DEVPORTAL_ADMIN_PWD=Abcdefg@1

# If set, the existing portal OAuth client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you configure SAML and change the value of 
# any of the PORTALCLI_* properties.
PORTALCLI_SSO_CLIENT_OVERWRITE=y

如需在该门户上启用 SAML 支持,请执行以下操作:

  1. 在 Edge 界面中,将 DEVPORTAL_ADMIN_EMAIL 指定的机器用户添加到 以 Organization Administrator 身份与门户相关联的组织。
  2. 运行以下命令以在门户上配置 SAML:
    /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f samlConfigFile

    其中 samlConfigFile 是 SAML 配置文件。

  3. 以门户管理员的身份登录门户。
  4. 在 Drupal 主菜单中,选择 Configuration >开发者门户。门户 配置屏幕,其中包括 SAML 设置:

    请注意,此组织已启用 SAML 复选框 已填写 Edge SSO 模块的端点、API 密钥和 填写门户 OAuth 客户端的使用方密钥字段, 消息连接成功显示在测试 连接按钮。

  5. 您可以按测试连接按钮,在以下位置重新测试连接: 。

如需稍后更改这些值,请更新配置文件并再次运行该命令。

在门户上停用 SAML

如果您选择为门户与 Edge 之间的通信停用 SAML,门户将停用 SAML 无法再向 Edge 发出请求。开发者可以登录门户网站,但 无法查看产品或创建应用。

如需在该门户上停用 SAML,请执行以下操作:

  1. 修改您用于配置 SAM 的配置文件,以便进行以下设置:
    DEVPORTAL_SSO_ENABLED=n
  2. 配置门户:
    /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile