Edge-Dienstprogramme und APIs nach der Aktivierung von SAML verwenden

Edge for Private Cloud v4.18.05

In diesem Abschnitt wird beschrieben, wie Sie nach der Aktivierung von SAML die Administratortools und Befehle des Edge-Systems ausführen. Viele Aufgaben in Edge erfordern Anmeldedaten zur Systemadministration, wie zum Beispiel:

  • Organisationen und Umgebungen erstellen
  • Hinzufügen und Entfernen von Edge-Komponenten
  • Befehle von Apigee-adminapi.sh ausführen

Nach der Aktivierung von SAML in Edge deaktivieren Sie in der Regel die Basisauthentifizierung, sodass die einzige Möglichkeit erfolgt die Authentifizierung über den SAML-IdP. Stellen Sie daher sicher, dass Sie das Tag mit Ihrem SAML-IdP.

Aufrufen von Edge-Management-APIs als Systemadministrator

Bei vielen Edge-API-Aufrufen müssen Sie die Anmeldedaten des Systemadministrators übergeben. Das Verwenden von SAML mit der Edge-Verwaltungs-API enthält Anweisungen zum Abrufen und Aktualisieren von Tokens beim Ausführen von Edge-Management-API-Aufrufen.

Apigee-adminapi.sh verwenden mit SAML-Authentifizierung

Verwenden Sie das Dienstprogramm apigee-adminapi.sh, um die gleichen Edge-Konfigurationsaufgaben auszuführen die Sie ausführen, indem Sie die Edge-Verwaltungs-API aufrufen. Der Vorteil des apigee-adminapi.sh ist, dass es:

  • Einfache Befehlszeile verwenden
  • Implementiert tabellarische Befehlsvervollständigung
  • Bietet Hilfe und Informationen zur Nutzung
  • Kann den entsprechenden API-Aufruf anzeigen, wenn Sie die API ausprobieren möchten

Weitere Informationen finden Sie unter Apigee-ssoadminapi.sh verwenden.

Nachdem Sie die SAML-Authentifizierung aktiviert haben, haben Sie mehrere Möglichkeiten, den Systemadministrator zu übergeben Anmeldedaten für das Dienstprogramm apigee-adminapi.sh.

Für jeden apigee-adminapi.sh-Befehl werden alle Optionen angezeigt, einschließlich der Optionen für die Angabe von SAML-Anmeldedaten mithilfe von „-h“ Option hinzufügen. Beispiel:

apigee-adminapi.sh orgs list -h

Sie können beispielsweise die Anmeldedaten des Systemadministrators übergeben:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \
  --admin adminEmail --oauth-password adminPword

Wobei:

  • Die Option sso-url gibt die URL des Edge-SSO-Moduls an. Port ändern wenn Sie sie von 9099 oder HTTP geändert haben.
  • oauth-flow gibt entweder passcode oder password_grant. In diesem Beispiel geben Sie an, password_grant
  • adminEmail ist die E-Mail-Adresse des Systemadministrators.
  • oauth-password gibt das Passwort des Systemadministrators an.

Alternativ können Sie beim Aufrufen des Befehls einen Sicherheitscode verwenden:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-passcode passcode

Wobei:

  • oauth-flow gibt passcode an.
  • oauth-passcode gibt den Sicherheitscode an, der von http://edge_sso_IP_DNS:9099/passcode.

Schließlich können Sie ein Token verwenden, wenn Sie den Befehl aufrufen:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-token token

Wobei:

  • oauth-flow gibt entweder passcode oder password_grant, je nachdem, wie Sie das Token ursprünglich erhalten haben. In diesem Beispiel Geben Sie passcode an, da Sie das Token ursprünglich mithilfe von get_token. Siehe Verwenden von SAML mit Edge Management API.
  • oauh_token enthält das Token.

Edge-Dienstprogramme mit SAML-Authentifizierung verwenden

Viele Edge-Dienstprogramme erfordern Anmeldedaten des Systemadministrators, wie z. B.:

  • apigee-provision zum Erstellen von Organisationen, Umgebungen und virtuellen Umgebungen Hosts
  • setup.sh zum Hinzufügen von Knoten zu einem vorhandenen System verwendet
  • Jedes andere Dienstprogramm, bei dem Sie die Anmeldedaten des Systemadministrators in einer Konfiguration angeben müssen Datei

Diese Dienstprogramme nehmen als Eingabe eine Konfigurationsdatei an, in der die Anmeldedaten mithilfe der Attribute:

ADMIN_EMAIL="adminEmail"
APIGEE_ADMINPW=adminPWord

Wenn Sie das Passwort weglassen, werden Sie aufgefordert, es anzugeben.

Nachdem Sie SAML aktiviert haben, verwenden Sie verschiedene Eigenschaften, um die Anmeldedaten des Systemadministrators anzugeben. Für können Sie beispielsweise die Anmeldedaten des Systemadministrators übergeben:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=password_grant
OAUTH_ADMIN_PASSWORD=adminPWord

Wobei:

  • SSO_LOGIN_URL gibt die URL des Edge-SSO-Moduls an. Ändern Sie den Port oder wenn Sie sie von 9099 und HTTP geändert haben.
  • OAUTH_FLOW gibt entweder passcode oder password_grant In diesem Beispiel geben Sie password_grant an, weil Sie übergeben das Passwort des Systemadministrators.
  • OAUTH_ADMIN_PASSWORD gibt das Passwort des Systemadministrators an.

Alternativ können Sie die folgenden Attribute verwenden, um die Anmeldedaten als Teil eines Ablauf eines Sicherheitscodes:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_ADMIN_PASSCODE=passcode

Wobei:

  • OAUTH_FLOW gibt passcode an.
  • OAUTH_ADMIN_PASSCODE gibt den Sicherheitscode an, der von http://edge_sso_IP_DNS:9099/passcode.

Schließlich können Sie ein Token

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_BEARER_TOKEN=token

Wobei:

  • OAUTH_FLOW gibt entweder passcode oder password_grant, je nachdem, wie Sie das Token ursprünglich erhalten haben. In diesem Beispiel Sie geben passcode an, da Sie das Token ursprünglich mithilfe von get_token. Siehe Verwenden von SAML mit Edge Management API.
  • OAUTH_BEARER_TOKEN enthält das Token.