Private Cloud용 Edge v4.18.05
Edge API에서 SAML을 사용할 때 OAuth2 액세스 및 SAML 어설션의 갱신 토큰을 비밀번호 흐름이라고 합니다. 비밀번호 흐름을 사용하면 브라우저를 사용하여 OAuth2 토큰을 가져오는 데 사용하는 일회용 비밀번호를 가져옵니다.
그러나 개발 환경에서 일반적인 개발 작업을 위한 자동화를 지원할 수 있습니다. 테스트 자동화 또는 지속적 통합/지속적 배포 (CI/CD)를 예로 들 수 있습니다. 자동화하기 위해 SAML을 사용 설정하면 이러한 작업을 실행할 때 다른 사용자 인증 없이 OAuth2 토큰을 받아 브라우저에서 비밀번호를 복사/붙여넣기해야 함
Edge는 머신 사용자를 통해 자동화된 토큰 생성을 지원합니다. 머신 사용자는 비밀번호를 지정할 필요 없이 OAuth2 토큰을 가져올 수 있습니다. 즉, 인프라 관리 및 Edge 관리 API를 사용하여 OAuth2 토큰을 가져오고 새로고침하는 프로세스입니다.
머신 사용자 만들기
apigee-ssoadminapi.sh
사용
SAML 조직을 위한 시스템 사용자를 생성하는 유틸리티입니다. 자세한 내용은 사용
자세한 내용은 apigee-ssoadminapi.sh를 참조하세요. 모든 VM에서 사용하는 단일 머신 사용자를
각 조직에 대해 별도의 머신 사용자를 만들 수 있습니다.
머신 사용자가 SAML ID가 아닌 Edge 데이터 스토어에 생성되고 저장됩니다. 제공업체 따라서 Edge UI 및 Edge 관리 API.
머신 사용자를 만들 때 이메일 주소와 비밀번호를 지정해야 합니다. 후(After) 하나 이상의 조직에 할당합니다.
머신 사용자를 만들려면 다음 안내를 따르세요.
- 다음
apigee-ssoadminapi.sh
명령어를 사용하여 머신 사용자를 만듭니다.apigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME \ --secret SSO_ADMIN_SECRET --host edge_sso_IP_or_DNS \ -u machine_user_email -p machine_user_password
각 항목의 의미는 다음과 같습니다.
- SSO_ADMIN_NAME은
속성
SSO_ADMIN_NAME
개 위치 Edge SSO 모듈을 구성하는 데 사용되는 구성 파일입니다. 기본값은ssoadmin
- SSO_ADMIN_SECRET는
구성 파일의
SSO_ADMIN_SECRET
속성
이 예시에서는
--port
의 값을 생략할 수 있으며--ssl
,apigee-sso
모듈이 기본값을 사용하기 때문입니다.--port
의 경우 9099,--ssl
의 경우 http입니다. 만약 설치는 이러한 기본값을 사용하지 않으므로 적절하게 지정하세요. - SSO_ADMIN_NAME은
속성
- Edge UI에 로그인하여 머신 사용자의 이메일을 조직에 추가한 다음 머신 사용자에게 필요한 역할에 할당할 수 있습니다 다음의 글로벌 사용자 추가 참조: 자세히 알아보세요.
머신 사용자 토큰 획득 및 갱신
Edge API를 사용하여 OAuth2 토큰을 가져오고 새로 고치려면 머신 사용자의 사용자 인증 정보를 입력합니다.
머신 사용자의 OAuth2 토큰을 가져오는 방법은 다음과 같습니다.
- 다음 API 호출을 사용하여 초기 액세스 및 갱신 토큰을 생성합니다.
curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \ -H "accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://edge_sso_IP_DNS:9099/oauth/token -s \ -d 'grant_type=password&username=m_user_email&password=m_user_password'
나중에 사용할 수 있도록 토큰을 저장합니다.
- 액세스 토큰을 Edge 관리 API 호출에 Bearer 헤더로 전달합니다.
curl -H "Authorization: Bearer access_token" \ http://ms_IP_DNS:8080/v1/organizations/orgName
여기서 orgName은 머신 사용자가 포함된 조직의 이름입니다.
- 나중에 액세스 토큰을 새로고침하려면 갱신이 포함된 다음 호출을 사용합니다.
토큰:
curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \ -H "Accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://edge_sso_IP_DNS:9099/oauth/token \ -d 'grant_type=refresh_token&refresh_token=refreshToken'
Edge를 사용하여 머신 사용자 만들기 관리 API
다음을 사용하는 대신 Edge 관리 API를 사용하여 머신 사용자를 만들 수 있습니다.
apigee-ssoadminapi.sh
유틸리티입니다.
머신 사용자를 만들려면 다음 안내를 따르세요.
- 다음
curl
명령어를 사용하여ssoadmin
사용자인apigee-sso
관리자 계정의 사용자 이름:curl "http://edge_sso_IP_DNS:9099/oauth/token" -i -X POST \ -H 'Accept: application/json' / -H 'Content-Type: application/x-www-form-urlencoded' \ -d "response_type=token" -d "grant_type=client_credentials" \ --data-urlencode "client_secret=SSO_ADMIN_SECRET" \ --data-urlencode "client_id=ssoadmin"
여기서 SSO_ADMIN_SECRET는 설치 시 설정한 관리자 비밀번호입니다.
apigee-sso
속성 지정SSO_ADMIN_SECRET
속성 구성 파일을 참조하세요.이 명령어는 다음 호출에 필요한 토큰을 표시합니다.
- 다음
curl
명령어를 사용하여 머신 사용자를 만들고 생성한 토큰을 전달합니다. 다음과 같습니다.curl "http://edge_sso_IP_DNS:9099/Users" -i -X POST \ -H "Accept: application/json" -H "Content-Type: application/json" \ -d '{"userName" : "machine_user_email", "name" : {"formatted":"DevOps", "familyName" : "last_name", "givenName" : "first_name"}, "emails" : [ {"value" : "machine_user_email", "primary" : true } ], "active" : true, "verified" : true, "password" : "machine_user_password" }' \ -H "Authorization: Bearer token"
이후 단계에서 시스템 사용자 비밀번호가 필요합니다.
- Edge UI에 로그인하여 머신 사용자의 이메일을 조직에 추가한 다음 머신 사용자에게 필요한 역할에 할당할 수 있습니다 자세한 내용은 글로벌 사용자 추가를 참조하세요.