Edge for Private Cloud v4.18.05
Tài liệu này mô tả cách bật tính năng truy xuất và thu hồi mã truy cập OAuth 2.0 theo mã nhận dạng người dùng cuối, mã ứng dụng hoặc cả hai.
Mã ứng dụng sẽ tự động được thêm vào mã truy cập OAuth. Do đó, sau khi sử dụng quy trình bên dưới để cho phép truy cập mã thông báo cho một tổ chức, bạn có thể truy cập vào mã thông báo theo mã ứng dụng.
Để truy xuất và thu hồi mã truy cập OAuth 2.0 theo mã nhận dạng người dùng cuối, mã nhận dạng người dùng cuối phải có trong mã truy cập. Quy trình bên dưới mô tả cách thêm mã nhận dạng người dùng cuối vào mã thông báo hiện có hoặc vào mã thông báo mới.
Theo mặc định, khi Edge tạo mã truy cập OAuth 2.0, mã này sẽ có định dạng:
{ "issued_at" : "1421847736581", "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a", "scope" : "READ", "status" : "approved", "api_product_list" : "[PremiumWeatherAPI]", "expires_in" : "3599", "developer.email" : "tesla@weathersample.com", "organization_id" : "0", "token_type" : "BearerToken", "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP", "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL", "organization_name" : "myorg", "refresh_token_expires_in" : "0", "refresh_count" : "0" }
Xin lưu ý những điều sau:
- Trường
application_name
chứa UUID của ứng dụng được liên kết với mã thông báo. Nếu bạn bật tính năng truy xuất và thu hồi mã truy cập OAuth 2.0 theo mã ứng dụng, thì đây là mã ứng dụng mà bạn sử dụng. - Trường
access_token
chứa giá trị mã truy cập OAuth 2.0.
Để cho phép truy xuất và thu hồi mã truy cập OAuth 2.0 theo mã nhận dạng người dùng cuối, hãy định cấu hình chính sách OAuth 2.0 để đưa mã nhận dạng người dùng vào mã thông báo, như mô tả trong quy trình bên dưới.
Mã nhận dạng người dùng cuối là chuỗi mà Edge sử dụng làm mã nhận dạng nhà phát triển, chứ không phải địa chỉ email của nhà phát triển. Bạn có thể xác định mã nhận dạng của nhà phát triển từ địa chỉ email của nhà phát triển bằng cách sử dụng lệnh gọi Get Developer API.
Sau khi bạn định cấu hình Edge để đưa mã nhận dạng người dùng cuối vào mã thông báo, mã nhận dạng này sẽ được đưa vào dưới dạng trường app_enduser, như minh hoạ bên dưới:
{ "issued_at" : "1421847736581", "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a", "scope" : "READ", "app_enduser" : "6ZG094fgnjNf02EK", "status" : "approved", "api_product_list" : "[PremiumWeatherAPI]", "expires_in" : "3599", "developer.email" : "tesla@weathersample.com", "organization_id" : "0", "token_type" : "BearerToken", "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP", "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL", "organization_name" : "myorg", "refresh_token_expires_in" : "0", "refresh_count" : "0" }
API để truy xuất và thu hồi mã truy cập OAuth 2.0 theo mã nhận dạng người dùng và mã ứng dụng
Sử dụng các API sau để truy cập vào mã thông báo OAuth theo mã nhận dạng người dùng, mã ứng dụng hoặc cả hai:
- Nhận mã truy cập OAuth 2.0 theo Mã nhận dạng người dùng cuối hoặc Mã ứng dụng
- Thu hồi mã truy cập OAuth 2.0 theo mã nhận dạng người dùng cuối hoặc mã ứng dụng
Quy trình bật quyền truy cập mã thông báo
Hãy sử dụng quy trình sau để bật tính năng truy xuất và thu hồi mã truy cập OAuth 2.0 theo mã nhận dạng người dùng cuối và mã ứng dụng.
Bước 1: Bật tính năng hỗ trợ quyền truy cập mã thông báo cho một tổ chức
Bạn phải bật quyền truy cập vào mã thông báo cho từng tổ chức riêng biệt. Gọi API PUT bên dưới cho từng tổ chức mà bạn muốn bật tính năng truy xuất và thu hồi mã truy cập OAuth 2.0 bằng mã nhận dạng người dùng cuối hoặc mã ứng dụng.
Người dùng thực hiện lệnh gọi sau phải có vai trò là orgadmin hoặc opsadmin
cho tổ chức. Thay thế values bằng các giá trị dành riêng cho tổ chức của bạn:
curl -H "Content-type:text/xml" -X POST \ https://management_server_IP;:8080/v1/organizations/org_name \ -d '<Organization name="org_name"> <Properties> <Property name="features.isOAuthRevokeEnabled">true</Property> <Property name="features.isOAuth2TokenSearchEnabled">true</Property> </Properties> </Organization>' \ -u USER_EMAIL:PASSWORD
Bước 2: Đặt quyền cho vai trò opsadmin trong tổ chức
Chỉ các vai trò orgadmin
và opsadmin
trong một tổ chức mới được cấp quyền truy xuất (HTTP GET) và thu hồi (HTTP PUT) mã thông báo OAuth 2.0 dựa trên mã nhận dạng người dùng hoặc mã ứng dụng. Để kiểm soát quyền truy cập, hãy đặt quyền lấy và đặt trên tài nguyên /oauth2 cho một tổ chức. Tài nguyên đó có URL ở dạng:
https://management_server_IP:8080/v1/organizations/org_name/oauth2
Vai trò orgadmin
phải có các quyền cần thiết. Đối với vai trò
opsadmin
đối với tài nguyên /oauth2, các quyền sẽ có dạng như sau:
<ResourcePermission path="/oauth2"> <Permissions> <Permission>get</Permission> <Permission>put</Permission> </Permissions> </ResourcePermission>
Bạn có thể sử dụng lệnh gọi Lấy quyền cho một API tài nguyên đơn lẻ để xem vai trò nào có quyền đối với tài nguyên /oauth2
.
Dựa trên phản hồi, bạn có thể sử dụng lệnh gọi API Thêm quyền cho tài nguyên vào vai trò và Xoá quyền cho tài nguyên để điều chỉnh mọi quyền cần thiết cho tài nguyên /oauth2.
Sử dụng lệnh curl
sau đây để cấp cho vai trò opsadmin
quyền get
và put
cho tài nguyên /oauth2
. Thay thế values bằng các giá trị dành riêng cho tổ chức của bạn:
curl -X POST -H 'Content-type:application/xml' \ http://management_server_IP:8080/v1/organizations/org_name/userroles/opsadmin/permissions \ -d '<ResourcePermission path="/oauth2"> <Permissions> <Permission>get</Permission> <Permission>put</Permission> </Permissions> </ResourcePermission>' \ -u USEREMAIL:PASSWORD
Sử dụng lệnh curl
sau đây để thu hồi quyền get
và put
cho tài nguyên /oauth2
từ các vai trò khác ngoài orgadmin
và opsadmin
. Thay thế values bằng các giá trị dành riêng cho tổ chức của bạn:
curl -X DELETE -H 'Content-type:application/xml' \ http://management_server_IP:8080/v1/organizations/org_name/userroles/roles/permissions \ -d '<ResourcePermission path="/oauth2"> <Permissions></Permissions> </ResourcePermission>' \ -u USEREMAIL:PASSWORD
Bước 3: Đặt thuộc tính oauth_max_search_limit
Đảm bảo rằng thuộc tính conf_keymanagement_oauth_max_search_limit
trong tệp /opt/apigee/customer/application/management-server.properties
được đặt thành 100:
conf_keymanagement_oauth_max_search_limit = 100
Nếu tệp này không tồn tại, hãy tạo tệp.
Thuộc tính này đặt kích thước trang được dùng khi tìm nạp mã thông báo. Apigee đề xuất giá trị là 100, nhưng bạn có thể đặt giá trị này cho phù hợp.
Trên một lượt cài đặt mới, thuộc tính này phải được đặt thành 100. Nếu bạn phải thay đổi giá trị của thuộc tính này, hãy khởi động lại Máy chủ quản lý và Trình xử lý thư bằng cách sử dụng các lệnh:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
Bước 4: Định cấu hình chính sách OAuth 2.0 tạo mã thông báo để bao gồm mã nhận dạng người dùng cuối
Định cấu hình chính sách OAuth 2.0 dùng để tạo mã truy cập để đưa mã nhận dạng người dùng cuối vào mã thông báo. Bằng cách đưa mã nhận dạng người dùng cuối vào mã thông báo truy cập, bạn có thể truy xuất và thu hồi mã thông báo theo mã nhận dạng.
Để định cấu hình chính sách nhằm đưa mã nhận dạng người dùng cuối vào mã truy cập, yêu cầu tạo mã truy cập phải chứa mã nhận dạng người dùng cuối và bạn phải chỉ định biến đầu vào chứa mã nhận dạng người dùng cuối.
Chính sách OAuth 2.0 bên dưới, có tên là GenerateAccessTokenClient, sẽ tạo một mã truy cập OAuth 2.0. Lưu ý việc thêm thẻ <AppEndUser>
in đậm để chỉ định biến chứa mã nhận dạng người dùng cuối:
<OAuthV2 async="false" continueOnError="false" enabled="true" name="GenerateAccessTokenClient"> <DisplayName>OAuth 2.0.0 1</DisplayName> <ExternalAuthorization>false</ExternalAuthorization> <Operation>GenerateAccessToken</Operation> <SupportedGrantTypes> <GrantType>client_credentials</GrantType> </SupportedGrantTypes> <GenerateResponse enabled="true"/> <GrantType>request.queryparam.grant_type</GrantType> <AppEndUser>request.header.appuserID</AppEndUser> <ExpiresIn>960000</ExpiresIn> </OAuthV2>
Sau đó, bạn có thể sử dụng lệnh curl
sau để tạo mã truy cập OAuth 2.0, truyền mã nhận dạng người dùng dưới dạng tiêu đề appuserID
:
curl -H "appuserID:6ZG094fgnjNf02EK" \ https://myorg-test.apigee.net/oauth/client_credential/accesstoken?grant_type=client_credentials \ -X POST -d 'client_id=k3nJyFJIA3p62TKIkLO6OJNXFmP&client_secret=gk5K5lIp943AY4'
Trong ví dụ này, appuserID
được truyền dưới dạng tiêu đề yêu cầu. Bạn có thể truyền thông tin trong một yêu cầu theo nhiều cách. Ví dụ: bạn có thể:
- Sử dụng biến tham số biểu mẫu:
request.formparam.appuserID
- Sử dụng biến flow cung cấp mã nhận dạng người dùng cuối