Korzystanie z narzędzi administracyjnych Edge i interfejsów API po włączeniu SAML

Edge for Private Cloud w wersji 4.18.05

W tej sekcji opisaliśmy, jak po włączeniu SAML uruchamiać narzędzia i polecenia administracyjne systemu Edge. Wiele zadań w Edge wymaga danych logowania administratora systemu, takich jak:

  • Tworzenie organizacji i środowisk
  • Dodawanie i usuwanie komponentów Edge
  • Polecenia Runngin apigee-adminapi.sh

Jednak po włączeniu SAML w Edge zwykle wyłączasz uwierzytelnianie podstawowe. W ten sposób jedyny sposób uwierzytelniania to użycie dostawcy tożsamości SAML. Dlatego musisz dodać konto administratora systemu do dostawcy tożsamości SAML.

Wywołuję interfejsy API do zarządzania Edge jako administrator systemu

Wiele wywołań interfejsu Edge API wymaga podania danych logowania administratora systemu. W artykule Używanie SAML z interfejsem Edge Management API znajdziesz instrukcje uzyskiwania i odświeżania tokenów podczas wykonywania wywołań interfejsu Edge Management API.

Używanie narzędzia apigee-adminapi.sh z uwierzytelnianiem SAML

Za pomocą narzędzia apigee-adminapi.sh możesz wykonywać te same zadania konfiguracji Edge co przez wywołania interfejsu Edge Management API. Zaletą narzędzia apigee-adminapi.sh jest to, że:

  • Użyj prostego interfejsu wiersza poleceń
  • Implementuje wykonywanie poleceń za pomocą kart
  • Zawiera pomoc i informacje o użytkowaniu
  • Możesz wyświetlić odpowiednie wywołanie interfejsu API, jeśli zdecydujesz się go wypróbować.

Więcej informacji znajdziesz w artykule o używaniu apigee-ssoadminapi.sh.

Po włączeniu uwierzytelniania SAML możesz na kilka sposobów przekazać dane logowania administratora systemu do narzędzia apigee-adminapi.sh.

Wszystkie opcje dowolnego polecenia apigee-adminapi.sh, w tym opcje określania danych logowania SAML, możesz wyświetlić za pomocą opcji „-h” w poleceniu. Na przykład:

apigee-adminapi.sh orgs list -h

Możesz na przykład przekazać dane logowania administratora systemu:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \
  --admin adminEmail --oauth-password adminPword

Gdzie:

  • Opcja sso-url określa adres URL modułu Edge SSO. Zmodyfikuj port lub protokół, jeśli zostały zmienione z 9099 i HTTP.
  • oauth-flow określa passcode lub password_grant. W tym przykładzie jest to password_grant.
  • adminEmail to adres e-mail administratora systemu sys.
  • oauth-password określa hasło administratora sys.

Możesz też użyć kodu dostępu podczas wywoływania polecenia:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-passcode passcode

Gdzie:

  • oauth-flow określa passcode.
  • oauth-passcode określa kod dostępu uzyskany z http://edge_sso_IP_DNS:9099/passcode.

Możesz też użyć tokena podczas wywoływania polecenia:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-token token

Gdzie:

  • oauth-flow określa albo passcode, albo password_grant, w zależności od sposobu uzyskania tokena. W tym przykładzie podajesz passcode, ponieważ token pochodził z metody get_token. Zobacz Używanie SAML z interfejsem Edge Management API.
  • oauh_token zawiera token.

Używanie narzędzi brzegowych z uwierzytelnianiem SAML

Wiele narzędzi Edge wymaga danych logowania administratora systemu, na przykład:

  • apigee-provision służy do tworzenia organizacji, środowisk i hostów wirtualnych
  • setup.sh służy do dodawania węzłów do istniejącego systemu
  • Wszelkie inne narzędzie, w którym trzeba podać dane logowania administratora systemu w pliku konfiguracji

Te narzędzia przyjmują jako dane wejściowe plik konfiguracji, który określa dane logowania administratora systemu za pomocą właściwości:

ADMIN_EMAIL="adminEmail"
APIGEE_ADMINPW=adminPWord

Jeśli pominiesz hasło, pojawi się prośba o jego podanie.

Po włączeniu SAML użyj różnych właściwości do określenia danych logowania administratora sys. Możesz na przykład przekazać dane logowania administratora systemu:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=password_grant
OAUTH_ADMIN_PASSWORD=adminPWord

Gdzie:

  • SSO_LOGIN_URL określa adres URL modułu Edge SSO. Zmodyfikuj port lub protokół, jeśli zostały zmienione z 9099 i HTTP.
  • OAUTH_FLOW określa wartość passcode lub password_grant. W tym przykładzie podasz password_grant, ponieważ przekazujesz hasło administratora systemu sys.
  • OAUTH_ADMIN_PASSWORD określa hasło administratora sys.

Aby określić dane logowania w ramach procesu obsługi kodu dostępu, możesz też użyć tych właściwości:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_ADMIN_PASSCODE=passcode

Gdzie:

  • OAUTH_FLOW określa passcode.
  • OAUTH_ADMIN_PASSCODE określa kod dostępu uzyskany z http://edge_sso_IP_DNS:9099/passcode.

Możesz też użyć tokena,

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_BEARER_TOKEN=token

Gdzie:

  • OAUTH_FLOW określa albo passcode, albo password_grant, w zależności od sposobu uzyskania tokena. W tym przykładzie podajesz wartość passcode, ponieważ token pochodził z metody get_token. Zobacz Używanie SAML z interfejsem Edge Management API.
  • OAUTH_BEARER_TOKEN zawiera token.