Использование утилит администрирования Edge и API-интерфейсов после включения SAML

Edge для частного облака v4.18.05

В этом разделе описывается, как запускать инструменты и команды системного администратора Edge после включения SAML. Для многих задач в Edge требуются учетные данные системного администратора, например:

  • Создание организаций и сред
  • Добавление и удаление компонентов Edge
  • Запуск команд apigee-adminapi.sh

Однако после включения SAML на Edge вы обычно отключаете базовую аутентификацию, так что единственный способ аутентификации — через SAML IDP. Поэтому вы должны убедиться, что вы добавили учетную запись системного администратора в свой SAML IDP.

Вызов API управления Edge от имени системного администратора

Многие вызовы Edge API требуют, чтобы вы передали учетные данные системного администратора. Использование SAML с API управления Edge содержит инструкции о том, как получать и обновлять токены при выполнении вызовов API управления Edge.

Использование утилиты apigee-adminapi.sh с аутентификацией SAML

Используйте утилиту apigee-adminapi.sh для выполнения тех же задач по настройке Edge, которые вы выполняете, вызывая API управления Edge. Преимущество утилиты apigee-adminapi.sh заключается в том, что она:

  • Используйте простой интерфейс командной строки
  • Реализует завершение команд на основе табуляции.
  • Предоставляет справку и информацию об использовании.
  • Может отображать соответствующий вызов API, если вы решите попробовать API.

Дополнительные сведения см. в разделе Использование apigee-ssoadminapi.sh .

После включения аутентификации SAML у вас есть несколько способов передать учетные данные системного администратора утилите apigee-adminapi.sh .

Вы можете просмотреть все параметры любой команды apigee-adminapi.sh , включая параметры указания учетных данных SAML, используя параметр «-h» команды. Например:

apigee-adminapi.sh orgs list -h

Например, вы можете передать учетные данные системного администратора:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \
  --admin adminEmail --oauth-password adminPword

Где:

  • Параметр sso-url указывает URL-адрес модуля Edge SSO. Измените порт или протокол, если вы изменили их с 9099 и HTTP.
  • oauth-flow указывает либо passcode , либо password_grant . В этом примере вы указываете password_grant .
  • adminEmail — адрес электронной почты системного администратора.
  • oauth-password указывает пароль системного администратора.

Альтернативно вы можете использовать пароль при вызове команды:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-passcode passcode

Где:

  • oauth-flow указывает passcode .
  • oauth-passcode указывает пароль, полученный из http://edge_sso_IP_DNS:9099 /passcode.

Наконец, вы можете использовать токен при вызове команды:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-token token

Где:

  • oauth-flow указывает либо passcode , либо password_grant , в зависимости от того, как вы изначально получили токен. В этом примере вы указываете passcode , поскольку изначально получили токен с помощью get_token . См. Использование SAML с API управления Edge .
  • oauh_token содержит токен.

Использование утилит Edge с аутентификацией SAML

Многим утилитам Edge требуются учетные данные системного администратора, например:

  • apigee-provision используемый для создания организаций, сред и виртуальных хостов
  • setup.sh используется для добавления узлов в существующую систему
  • Любая другая утилита, в которой вам необходимо указать учетные данные системного администратора в файле конфигурации.

Эти утилиты принимают в качестве входных данных файл конфигурации, в котором указаны учетные данные системного администратора с использованием свойств:

ADMIN_EMAIL="adminEmail"
APIGEE_ADMINPW=adminPWord

Если вы опустите пароль, вам будет предложено его ввести.

После включения SAML вы используете различные свойства для указания учетных данных системного администратора. Например, вы можете передать учетные данные системного администратора:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=password_grant
OAUTH_ADMIN_PASSWORD=adminPWord

Где:

  • SSO_LOGIN_URL указывает URL-адрес модуля Edge SSO. Измените порт или протокол, если вы изменили их с 9099 и HTTP.
  • OAUTH_FLOW указывает либо passcode , либо password_grant . В этом примере вы указываете password_grant поскольку передаете пароль системного администратора.
  • OAUTH_ADMIN_PASSWORD указывает пароль системного администратора.

Альтернативно вы можете использовать следующие свойства, чтобы указать учетные данные как часть потока пароля:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_ADMIN_PASSCODE=passcode

Где:

  • OAUTH_FLOW указывает passcode .
  • OAUTH_ADMIN_PASSCODE указывает пароль, полученный из http://edge_sso_IP_DNS:9099 /passcode.

Наконец, вы можете использовать токен

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_BEARER_TOKEN=token

Где:

  • OAUTH_FLOW указывает либо passcode , либо password_grant , в зависимости от того, как вы изначально получили токен. В этом примере вы указываете passcode , поскольку изначально получили токен с помощью get_token . См. Использование SAML с API управления Edge .
  • OAUTH_BEARER_TOKEN содержит токен.