Edge для частного облака v4.18.05
В этом разделе описывается, как запускать инструменты и команды системного администратора Edge после включения SAML. Для многих задач в Edge требуются учетные данные системного администратора, например:
- Создание организаций и сред
- Добавление и удаление компонентов Edge
- Запуск команд apigee-adminapi.sh
Однако после включения SAML на Edge вы обычно отключаете базовую аутентификацию, так что единственный способ аутентификации — через SAML IDP. Поэтому вы должны убедиться, что вы добавили учетную запись системного администратора в свой SAML IDP.
Вызов API управления Edge от имени системного администратора
Многие вызовы Edge API требуют, чтобы вы передали учетные данные системного администратора. Использование SAML с API управления Edge содержит инструкции о том, как получать и обновлять токены при выполнении вызовов API управления Edge.
Использование утилиты apigee-adminapi.sh с аутентификацией SAML
Используйте утилиту apigee-adminapi.sh
для выполнения тех же задач по настройке Edge, которые вы выполняете, вызывая API управления Edge. Преимущество утилиты apigee-adminapi.sh
заключается в том, что она:
- Используйте простой интерфейс командной строки
- Реализует завершение команд на основе табуляции.
- Предоставляет справку и информацию об использовании.
- Может отображать соответствующий вызов API, если вы решите попробовать API.
Дополнительные сведения см. в разделе Использование apigee-ssoadminapi.sh .
После включения аутентификации SAML у вас есть несколько способов передать учетные данные системного администратора утилите apigee-adminapi.sh
.
Вы можете просмотреть все параметры любой команды apigee-adminapi.sh
, включая параметры указания учетных данных SAML, используя параметр «-h» команды. Например:
apigee-adminapi.sh orgs list -h
Например, вы можете передать учетные данные системного администратора:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \ --admin adminEmail --oauth-password adminPword
Где:
- Параметр
sso-url
указывает URL-адрес модуля Edge SSO. Измените порт или протокол, если вы изменили их с 9099 и HTTP. -
oauth-flow
указывает либоpasscode
, либоpassword_grant
. В этом примере вы указываетеpassword_grant
. - adminEmail — адрес электронной почты системного администратора.
-
oauth-password
указывает пароль системного администратора.
Альтернативно вы можете использовать пароль при вызове команды:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-passcode passcode
Где:
-
oauth-flow
указываетpasscode
. -
oauth-passcode
указывает пароль, полученный изhttp://edge_sso_IP_DNS:9099 /passcode.
Наконец, вы можете использовать токен при вызове команды:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-token token
Где:
-
oauth-flow
указывает либоpasscode
, либоpassword_grant
, в зависимости от того, как вы изначально получили токен. В этом примере вы указываетеpasscode
, поскольку изначально получили токен с помощьюget_token
. См. Использование SAML с API управления Edge . -
oauh_token
содержит токен.
Использование утилит Edge с аутентификацией SAML
Многим утилитам Edge требуются учетные данные системного администратора, например:
-
apigee-provision
используемый для создания организаций, сред и виртуальных хостов -
setup.sh
используется для добавления узлов в существующую систему - Любая другая утилита, в которой вам необходимо указать учетные данные системного администратора в файле конфигурации.
Эти утилиты принимают в качестве входных данных файл конфигурации, в котором указаны учетные данные системного администратора с использованием свойств:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Если вы опустите пароль, вам будет предложено его ввести.
После включения SAML вы используете различные свойства для указания учетных данных системного администратора. Например, вы можете передать учетные данные системного администратора:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
Где:
-
SSO_LOGIN_URL
указывает URL-адрес модуля Edge SSO. Измените порт или протокол, если вы изменили их с 9099 и HTTP. -
OAUTH_FLOW
указывает либоpasscode
, либоpassword_grant
. В этом примере вы указываетеpassword_grant
поскольку передаете пароль системного администратора. -
OAUTH_ADMIN_PASSWORD
указывает пароль системного администратора.
Альтернативно вы можете использовать следующие свойства, чтобы указать учетные данные как часть потока пароля:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
Где:
-
OAUTH_FLOW
указываетpasscode
. -
OAUTH_ADMIN_PASSCODE
указывает пароль, полученный изhttp://edge_sso_IP_DNS:9099 /passcode.
Наконец, вы можете использовать токен
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
Где:
-
OAUTH_FLOW
указывает либоpasscode
, либоpassword_grant
, в зависимости от того, как вы изначально получили токен. В этом примере вы указываетеpasscode
, поскольку изначально получили токен с помощьюget_token
. См. Использование SAML с API управления Edge . -
OAUTH_BEARER_TOKEN
содержит токен.