Edge per Private Cloud v4.18.05
Quando si utilizza SAML con l'API Edge, il processo utilizzato per ottenere l'accesso OAuth2 e i token di aggiornamento dall'asserzione SAML è chiamato flusso di passcode. Con il flusso di passcode, si utilizza un browser per ottenere un passcode una-tantum da utilizzare per ottenere i token OAuth2.
Tuttavia, il tuo ambiente di sviluppo potrebbe supportare l'automazione per attività di sviluppo comuni, come l'automazione dei test o l'integrazione continua/deployment continuo (CI/CD). Per automatizzare queste attività quando SAML è abilitato, è necessario ottenere e aggiornare i token OAuth2 senza dover copiare/incollare un passcode da un browser.
Edge supporta la generazione automatica di token tramite l'uso di utenti macchina. Un utente delle macchine può ottenere i token OAuth2 senza dover specificare un passcode. Ciò significa che puoi automatizzare completamente il processo di recupero e aggiornamento dei token OAuth2 utilizzando l'API Edge Management.
Crea un utente della macchina
Utilizza l'utilità apigee-ssoadminapi.sh
per creare un utente della macchina per un'organizzazione SAML. Per saperne di più, consulta la pagina Utilizzo di apigee-ssoadminapi.sh. Puoi creare un singolo utente di macchina utilizzato da tutte le tue
organizzazioni oppure un utente macchina distinto per ogni organizzazione.
L'utente della macchina viene creato e archiviato nel datastore Edge, non nel tuo provider di identità SAML. Di conseguenza, non sei responsabile della manutenzione dell'utente della macchina utilizzando l'UI perimetrale e l'API di gestione perimetrale.
Quando crei l'utente della macchina, devi specificare un indirizzo email e una password. Dopo aver creato l'utente della macchina, devi assegnarlo a una o più organizzazioni.
Per creare un utente della macchina:
- Utilizza il seguente comando
apigee-ssoadminapi.sh
per creare l'utente della macchina:apigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME \ --secret SSO_ADMIN_SECRET --host edge_sso_IP_or_DNS \ -u machine_user_email -p machine_user_password
Dove:
- SSO_ADMIN_NAME è il nome utente dell'amministratore definito dalla proprietà
SSO_ADMIN_NAME
nel file di configurazione utilizzato per configurare il modulo SSO perimetrale. Il valore predefinito èssoadmin
. - SSO_ADMIN_SECRET è la password amministratore specificata dalla
proprietà
SSO_ADMIN_SECRET
nel file di configurazione.
In questo esempio puoi omettere i valori di
--port
e--ssl
perché il moduloapigee-sso
utilizza i valori predefiniti di 9099 per--port
e http per--ssl
. Se l'installazione non utilizza questi valori predefiniti, specificali in modo appropriato. - SSO_ADMIN_NAME è il nome utente dell'amministratore definito dalla proprietà
- Accedi all'interfaccia utente di Edge e aggiungi l'indirizzo email dell'utente della macchina alle tue organizzazioni, quindi assegna all'utente della macchina il ruolo necessario. Per saperne di più, consulta Aggiungere utenti globali.
Recupera e aggiorna il token dell'utente della macchina
Utilizza l'API Edge per ottenere e aggiornare i token OAuth2 passando le credenziali dell'utente della macchina, anziché un passcode.
Per ottenere i token OAuth2 per l'utente della macchina:
- Utilizza la seguente chiamata API per generare i token di accesso e aggiornamento iniziali:
curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \ -H "accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://edge_sso_IP_DNS:9099/oauth/token -s \ -d 'grant_type=password&username=m_user_email&password=m_user_password'
Salva i token per utilizzarli in seguito.
- Passa il token di accesso a una chiamata API di gestione perimetrale come intestazione di connessione:
curl -H "Authorization: Bearer access_token" \ http://ms_IP_DNS:8080/v1/organizations/orgName
Dove orgName è il nome dell'organizzazione che contiene l'utente della macchina.
- Per aggiornare in un secondo momento il token di accesso, utilizza la chiamata seguente che include il token di aggiornamento:
curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \ -H "Accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://edge_sso_IP_DNS:9099/oauth/token \ -d 'grant_type=refresh_token&refresh_token=refreshToken'
Crea un utente della macchina utilizzando l'API di gestione perimetrale
Puoi creare un utente della macchina utilizzando l'API Edge Management anziché l'utilità apigee-ssoadminapi.sh
.
Per creare un utente della macchina:
- Utilizza il seguente comando
curl
per ottenere un token per l'utentessoadmin
, il nome utente dell'account amministratore perapigee-sso
:curl "http://edge_sso_IP_DNS:9099/oauth/token" -i -X POST \ -H 'Accept: application/json' / -H 'Content-Type: application/x-www-form-urlencoded' \ -d "response_type=token" -d "grant_type=client_credentials" \ --data-urlencode "client_secret=SSO_ADMIN_SECRET" \ --data-urlencode "client_id=ssoadmin"
Dove SSO_ADMIN_SECRET è la password amministratore che hai impostato quando hai installato
apigee-sso
, come specificato dalla proprietàSSO_ADMIN_SECRET
nel file di configurazione.Questo comando mostra un token che ti servirà per effettuare la chiamata successiva.
- Utilizza il seguente comando
curl
per creare l'utente della macchina, passando il token che hai ricevuto nel passaggio precedente:curl "http://edge_sso_IP_DNS:9099/Users" -i -X POST \ -H "Accept: application/json" -H "Content-Type: application/json" \ -d '{"userName" : "machine_user_email", "name" : {"formatted":"DevOps", "familyName" : "last_name", "givenName" : "first_name"}, "emails" : [ {"value" : "machine_user_email", "primary" : true } ], "active" : true, "verified" : true, "password" : "machine_user_password" }' \ -H "Authorization: Bearer token"
Ti servirà nei passaggi successivi.
- Accedi all'interfaccia utente di Edge e aggiungi l'indirizzo email dell'utente della macchina alle tue organizzazioni, quindi assegna all'utente della macchina il ruolo necessario. Per ulteriori informazioni, consulta Aggiungere utenti globali.