設定入口網站以使用 SAML 與 Edge 進行通訊

Private Cloud v4.18.05 專用 Edge

Apigee Developer Services 入口網站 (簡稱入口網站) 是 Apigee Edge 的用戶端。這表示入口網站不會 做為獨立系統入口網站使用的大部分資訊 儲存在 Edge 上在必要時,入口網站會發出從 Edge 或 Edge 擷取資訊的要求 來傳送資訊給 Edge

入口網站一律與單一 Edge 機構相關聯。設定 入口網站,您可以指定 帳號。

如果您選擇啟用 SAML 進行 Edge 驗證,您可以將入口網站設為要使用的 向 Edge 發出要求時,SAML 驗證。設定入口網站以使用 SAML 隨後在 Edge 機構中自動建立新的電腦使用者帳戶 用來向 Edge 發出要求如要進一步瞭解電腦使用者,請參閱使用 SAML 搭配自動化工作

您必須先安裝並設定 Edge,才能取得入口網站的 SAML 支援 Edge Management Server 節點上的單一登入 (SSO) 模組。為 入口網站的特色是:

  1. 按照 SAML 的安裝和設定 Edge注意:Edge 仍需啟用基本驗證功能,才能安裝 入口網站。將入口網站設定完成後,請勿停用 Edge 上的基本驗證 。
  2. 安裝入口網站,確保安裝作業運作正常。請參閱安裝 Edge for Private Cloud 入口網站
  3. 前往入口網站設定 SAML。
  4. 您現在可以停用 Edge 上的基本驗證。

建立入口網站的電腦使用者

啟用 SAML 後,Edge 會透過使用 電腦使用者。電腦使用者不必指定 密碼。這表示您可以完全自動化取得及更新 OAuth2 的程序 符記

入口網站的 SAML 設定程序會自動在 與入口網站相關聯的機構接著,入口網站會使用這部電腦使用者帳戶 則連線至 Edge。如要進一步瞭解電腦使用者,請參閱 包含自動化工作的 SAML

關於入口網站開發人員的驗證 帳戶

設定入口網站使用 SAML 時,可讓入口網站使用 SAML 進行驗證 使用 Edge,讓入口網站可以向 Edge 發出要求。不過,入口網站也支援 「開發人員」

開發人員將透過您的 API 建構應用程式的使用者社群。應用程式開發人員 使用入口網站來瞭解您的 API、註冊使用您 API 的應用程式,以便與 查看應用程式使用情況的相關統計資料 儀表板中指定這項設定。

當開發人員登入入口網站時,負責維護 驗證開發人員和強制執行角色型權限。傳送門繼續 即使在入口網站和 Edge 間啟用 SAML,也會向開發人員使用基本驗證機制。 詳情請參閱通訊 「入口網站」和「邊緣」之間

您也可以設定入口網站,使用 SAML 驗證開發人員。對於 使用第三方 Drupal 模組啟用 SAML 的範例,請參閱 透過 SAML 與開發人員入口網站進行單一登入 (SSO) 整合

在入口網站上設定 SAML,以便執行下列操作: 與 Edge 通訊

如要為入口網站設定 SAML,您必須建立設定檔來設定入口網站:

# IP address of Edge Management Server and apigee-sso node.
IP1=22.222.22.222

# URL of Edge management API.
MGMT_URL=http://$IP1:8080/v1

# Org associated with the portal.
EDGE_ORG=myorg

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP1
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# Default is "n" to disable SAML support.
DEVPORTAL_SSO_ENABLED=y

# The name of the OAuth client used to connect to apigee-sso. 
# The default client name is portalcli.
PORTALCLI_SSO_CLIENT_NAME=portalcli
# Oauth client password using uppercase, lowercase, number, and special chars. 
PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1

# Email address and user info for the machine user created in 
# the Edge org specified above by EDGE_ORG. 
# This account is used by the portal to make requests to Edge.
# Add this email as an org admin before configuring the portal to use SAML. 
DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com
DEVPORTAL_ADMIN_FIRSTNAME=DevPortal
DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin
DEVPORTAL_ADMIN_PWD=Abcdefg@1

# If set, the existing portal OAuth client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you configure SAML and change the value of 
# any of the PORTALCLI_* properties.
PORTALCLI_SSO_CLIENT_OVERWRITE=y

如何在入口網站啟用 SAML 支援:

  1. 在 Edge UI 中,將 DEVPORTAL_ADMIN_EMAIL 指定的電腦使用者新增至 以機構管理員的身分與入口網站相關聯的機構。
  2. 執行下列指令,在入口網站上設定 SAML:
    /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f samlConfigFile

    其中 samlConfigFile 是 SAML 設定檔。

  3. 以入口網站管理員身分登入入口網站。
  4. 在 Drupal 主選單中,依序選取「Configuration」>開發人員入口網站。入口網站 設定畫面,包含 SAML 設定:

    請注意,「這個機構已啟用 SAML」方塊已 已填入 Edge SSO 模組的端點、API 金鑰和 已填寫入口網站 OAuth 用戶端的「用戶端密鑰」欄位,且 訊息連線成功顯示在測試下方 連線按鈕。

  5. 您可以按下「Test Connection」按鈕重新測試連線,網址為 。

日後如要變更這些值,請更新設定檔,然後再次執行指令。

在入口網站上停用 SAML

如果您選擇停用 SAML 以用於入口網站和 Edge 之間的通訊,入口網站將 再也無法向 Edge 發出要求開發人員可以登入入口網站,但 無法查看產品或建立應用程式。

如何在入口網站停用 SAML:

  1. 編輯用來設定 SAM 的設定檔:
    DEVPORTAL_SSO_ENABLED=n
  2. 設定入口網站:
    /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile