Edge for Private Cloud v4.18.05
In diesem Abschnitt wird beschrieben, wie Sie nach dem Aktivieren von SAML Tools und Befehle für die Edge-Systemverwaltung ausführen. Viele Aufgaben in Edge erfordern Anmeldedaten für die Systemadministration, z. B.:
- Organisationen und Umgebungen erstellen
- Edge-Komponenten hinzufügen und entfernen
- Befehle von apigee-adminapi.sh ausführen
Nachdem Sie jedoch SAML in Edge aktiviert haben, deaktivieren Sie in der Regel die Basisauthentifizierung, sodass die Authentifizierung nur über den SAML-IdP möglich ist. Daher müssen Sie dafür sorgen, dass Sie das Systemadministratorkonto Ihrem SAML-IdP hinzugefügt haben.
Edge-Verwaltungs-APIs als Systemadministrator aufrufen
Bei vielen Edge API-Aufrufen müssen Sie die Anmeldedaten des Systemadministrators übergeben. Unter SAML mit der Edge-Verwaltungs-API verwenden finden Sie eine Anleitung zum Abrufen und Aktualisieren von Tokens, wenn Edge-Verwaltungs-API-Aufrufe ausgeführt werden.
Dienstprogramm apigee-adminapi.sh mit SAML-Authentifizierung verwenden
Verwenden Sie das Dienstprogramm apigee-adminapi.sh, um dieselben Edge-Konfigurationsaufgaben auszuführen, die Sie durch Aufrufe an die Edge-Verwaltungs-API ausführen. Das Dienstprogramm apigee-adminapi.sh hat den Vorteil, dass es:
- Einfache Befehlszeile verwenden
- Implementiert die tabbasierte Befehlsvervollständigung
- Bietet Hilfe und Informationen zur Nutzung
- Der entsprechende API-Aufruf kann angezeigt werden, wenn du die API ausprobierst
Weitere Informationen finden Sie unter apigee-ssoadminapi.sh verwenden.
Nachdem Sie die SAML-Authentifizierung aktiviert haben, haben Sie mehrere Möglichkeiten, die Anmeldedaten des Systemadministrators an das Dienstprogramm apigee-adminapi.sh zu übergeben.
Mit der Option „-h“ im Befehl werden alle Optionen für jeden apigee-adminapi.sh-Befehl angezeigt, einschließlich der Optionen zum Angeben von SAML-Anmeldedaten. Beispiel:
apigee-adminapi.sh orgs list -h
Sie können beispielsweise die Anmeldedaten des Systemadministrators übergeben:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \ --admin adminEmail --oauth-password adminPword
Wobei:
- Die Option
sso-urlgibt die URL des Edge-SSO-Moduls an. Ändern Sie den Port oder das Protokoll, wenn Sie sie von 9099 und HTTP geändert haben. oauth-flowgibt entwederpasscodeoderpassword_grantan. In diesem Beispiel geben Siepassword_grantan.- adminEmail ist die E-Mail-Adresse des Systemadministrators.
oauth-passwordgibt das Passwort des Systemadministrators an.
Alternativ können Sie beim Aufrufen des Befehls einen Sicherheitscode verwenden:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-passcode passcode
Wobei:
oauth-flowgibtpasscodean.oauth-passcodegibt den vonhttp://edge_sso_IP_DNS:9099/passcode.erhaltenen Sicherheitscode an.
Schließlich können Sie beim Aufrufen des Befehls ein Token verwenden:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-token token
Wobei:
oauth-flowgibt entwederpasscodeoderpassword_grantan, je nachdem, wie Sie das Token ursprünglich erhalten haben. In diesem Beispiel geben Siepasscodean, da Sie das Token ursprünglich mitget_tokenerhalten haben. Weitere Informationen finden Sie unter SAML mit der Edge-Verwaltungs-API verwenden.oauh_tokenenthält das Token.
Edge-Dienstprogramme mit SAML-Authentifizierung verwenden
Viele Edge-Dienstprogramme erfordern Anmeldedaten des Systemadministrators, z. B.:
apigee-provisionzum Erstellen von Organisationen, Umgebungen und virtuellen Hostssetup.shwird verwendet, um einem vorhandenen System Knoten hinzuzufügen- Jedes andere Dienstprogramm, bei dem Sie die Anmeldedaten des Systemadministrators in einer Konfigurationsdatei angeben müssen
Diese Dienstprogramme verwenden als Eingabe eine Konfigurationsdatei, in der die Anmeldedaten des Systemadministrators mithilfe der Attribute angegeben werden:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Wenn Sie das Passwort weglassen, werden Sie aufgefordert, es einzugeben.
Nachdem Sie SAML aktiviert haben, verwenden Sie verschiedene Attribute, um die Anmeldedaten des Systemadministrators anzugeben. Sie können beispielsweise die Anmeldedaten des Systemadministrators übergeben:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
Wobei:
SSO_LOGIN_URLgibt die URL des Edge-SSO-Moduls an. Ändern Sie den Port oder das Protokoll, wenn Sie sie von 9099 und HTTP geändert haben.OAUTH_FLOWgibt entwederpasscodeoderpassword_grantan. In diesem Beispiel geben Siepassword_grantan, da Sie das Passwort des Systemadministrators übergeben.OAUTH_ADMIN_PASSWORDgibt das Passwort des Systemadministrators an.
Alternativ können Sie die folgenden Attribute verwenden, um die Anmeldedaten als Teil eines Sicherheitscodeablaufs anzugeben:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
Wobei:
OAUTH_FLOWgibtpasscodean.OAUTH_ADMIN_PASSCODEgibt den vonhttp://edge_sso_IP_DNS:9099/passcode.erhaltenen Sicherheitscode an.
Schließlich können Sie ein Token
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
Wobei:
OAUTH_FLOWgibt entwederpasscodeoderpassword_grantan, je nachdem, wie Sie das Token ursprünglich erhalten haben. In diesem Beispiel geben Siepasscodean, da Sie das Token ursprünglich mitget_tokenerhalten haben. Weitere Informationen finden Sie unter SAML mit der Edge-Verwaltungs-API verwenden.OAUTH_BEARER_TOKENenthält das Token.