שימוש ב-SAML עם Edge Management API

Edge for Private Cloud גרסה 4.18.05

אחת הדרכים לבצע אימות היא לבצע אימות בקריאות ל-Edge management API. עבור לדוגמה, אפשר לשלוח ל-Edge management API את בקשת ה-cURL הבאה כדי לגשת למידע. על הארגון שלך:

curl -u userName:pWord https://ms_IP_DNS:8080/v1/organizations/orgName

בדוגמה הזו, תשתמשו באפשרות cURL -u כדי להעביר פרטי כניסה של Basic Auth. לחלופין, יכול להעביר אסימון OAuth2 בכותרת Bearer כדי ליצור ממשק Edge management API שיחות. לדוגמה:

curl -H "Authorization: Bearer access_token" https://ms_IP_DNS:8080/v1/organizations/orgName

לאחר הפעלת SAML, ניתן להשבית את האימות הבסיסי. אם משביתים את האימות הבסיסי, סקריפטים (סקריפטים של Maven, סקריפטים של מעטפת, apigeetool וכו') שמסתמכים על Edge קריאות ל-Management API שתומכות ב'אימות בסיסי' לא יפעלו יותר. עליך לעדכן את כל הקריאות ל-API סקריפטים שמשתמשים ב'אימות בסיסי' כדי להעביר אסימוני גישה מסוג OAuth2 בכותרת של 'נושא'.

שימוש ב-get_token כדי לקבל ולרענן אסימונים

כלי השירות get_token ממיר את פרטי הכניסה לאימות בסיסי וקוד גישה לאסימון גישה ורענון של OAuth2. הכלי get_token מקבל את לאחר מכן, מדפיסים אסימון גישה חוקי. אם אפשר לרענן אסימון, הוא ירענן אותו להדפיס אותו. אם התוקף של אסימון הרענון יפוג, תתבקשו להזין את פרטי הכניסה של המשתמש.

חנויות השירות get_token את האסימונים שבדיסק, מוכנים לשימוש במקרה הצורך. היא גם מדפיסה אסימון גישה תקף ל-stdout. משם תוכלו להשתמש ב-Postman או להטמיע אותו במשתנה סביבה לשימוש ב-curl.

התהליך הבא מתאר איך להשתמש ב-get_token כדי לקבל אסימון גישה מסוג OAuth2 כדי ביצוע קריאות ל-Edge management API:

1. מורידים את sso-cli. חבילה:
   

   curl http://edge_sso_IP_DNS:9099/resources/scripts/sso-cli/ssocli-bundle.zip -o "ssocli-bundle.zip"

   כאשר edge_sso_IP_DNS הוא כתובת ה-IP של שם ה-DNS של המכונה שמתארחים במודול Edge SSO. אם הגדרתם TLS ב-Edge SSO, צריך להשתמש ב-https וב המספר הנכון של יציאת ה-TLS.

2. מחלצים את החבילה ssocli-bundle.zip:

   unzip ssocli-bundle.zip

3. התקנת get_token ב- /usr/local/bin:
   > ./install השתמשו את האפשרות -b כדי לציין מיקום שונה: > ./install -b path
4. הגדרת ה-SSO_LOGIN_URL משתנה הסביבה לכתובת ה-URL להתחברות, בפורמט הבא:
   לייצא SSO_LOGIN_URL="http://edge_sso_IP_DNS:9099"
   
   כאשר edge_sso_IP_DNS הוא כתובת ה-IP של שם ה-DNS של המכונה שמתארחים במודול Edge SSO. אם הגדרתם TLS ב-Edge SSO, צריך להשתמש ב-https ובמספר היציאה הנכון של TLS.
5. בדפדפן, צריך לעבור לכתובת ה-URL הבאה כדי לקבל קוד סיסמה חד-פעמי:
   http://edge_sso_IP_DNS:9099/passcode
   
   אם הגדרתם TLS ב-Edge SSO, צריך להשתמש ב-https ובמספר היציאה הנכון של TLS.
   
   הערה: אם ספק הזהויות שלך לא מחובר כרגע, עליך תוצג בקשה להתחבר לחשבון.
   
   כתובת ה-URL הזו מחזירה קוד סיסמה חד-פעמי שיישאר בתוקף עד שתרעננו את כתובת ה-URL כדי לקבל קוד סיסמה חדש, או שמשתמשים בקוד הגישה עם get_token כדי ליצור אסימון גישה.
6. מפעילים את get_token כדי לקבל אסימון הגישה מסוג OAuth2:
   > get_token -u emailAddress
   
   כאשר emailAddress הוא כתובת האימייל של משתמש Edge. היתרה שלך בקשה להזין את קוד הסיסמה החד-פעמי שקיבלתם בשלב 3:
   קוד חד-פעמי ( ניתן לקבל קוד כזה בכתובת https://dge_sso_IP.com/passcode )
   יש להזין את קוד הסיסמה אם SAML מופעל, או להקיש על ENTER:
   
   מזינים את קוד הגישה. הכלי get_token מקבל את גישת OAuth2 מדפיסה אותו למסך וכותבת אותו ואת אסימון הרענון אל ~/.sso-cli.
   
   אפשר להזין את קוד הגישה בשורת הפקודה באמצעות פקודת get_token בפורמט:
   > get_token -u emailAddress – p קוד גישה
7. מעבירים את אסימון הגישה לקריאה ל-Edge management API ככותרת הנושא:
   > curl -H "Authorization: Bearer access_token" https://ms_IP:8080/v1/organizations/orgName
   
   אחרי שמקבלים אסימון גישה חדש בפעם הראשונה, אפשר לקבל את אסימון הגישה להעביר אותה לקריאה ל-API בפקודה אחת, כמו שמוצג בהמשך:
   > header=`get_token` && curl -H "Authorization: נושאים $header" https://ms_IP:8080/v1/o/orgName
   
   בפקודה הזו, אם פג התוקף של אסימון הגישה, הוא עובר רענון באופן אוטומטי עד שיפוג התוקף של אסימון הרענון.

לאחר שיפוג התוקף של אסימון הרענון, get_token יבקש קוד גישה חדש. שלך חייבים לעבור לכתובת האתר שצוינה למעלה בשלב 3 וליצור קוד סיסמה חדש, לפני שתוכלו ליצור אסימון גישה חדש ל-OAuth

שימוש ב-Management API כדי לקבל ולרענן אסימונים

שימוש ב-OAuth2 אבטחה עם Apigee Edge management API כוללת הוראות שמראות איך להשתמש ממשק API לניהול Edge לקבלת אסימונים ולרענון שלהם. אפשר גם להשתמש בקריאות ל-Edge API לצורך אסימונים שנוצר מטענות נכונות (assertions) של SAML.

ההבדל היחיד בין הקריאות ל-API שתועדו בשימוש באבטחת OAuth2 באמצעות Apigee Edge management API שכתובת ה-URL של הקריאה חייבת להפנות לתחום שלכם. שם. בנוסף, כדי ליצור את אסימון הגישה הראשוני, עליך לכלול את קוד הגישה, וכן שמוצגת בשלב 3 של ההליך שלמעלה.

לדוגמה, אפשר להשתמש בקריאה הבאה ל-API כדי ליצור את אסימוני הגישה והרענון הראשוניים:

curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" /
  -H "accept: application/json;charset=utf-8" /
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST /
  https://edge_sso_IP_DNS:9099/oauth/token -s /
  -d 'grant_type=password&response_type=token&passcode=passcode'  

לקבלת הרשאה, מעבירים פרטי כניסה שמורים של לקוח OAuth2 בכותרת Authorization. השיחה מדפיסה אסימוני גישה ורענון במסך.

כדי לרענן את אסימון הגישה מאוחר יותר, משתמשים בקריאה הבאה שכוללת את אסימון הרענון:

curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" /
-H "Accept: application/json;charset=utf-8" /
-H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST /
https://edge_sso_IP_DNS:9099/oauth/token /
-d 'grant_type=refresh_token&refresh_token=refreshToken'