Настройка портала для использования SAML для связи с Edge

Edge для частного облака v4.19.01

Портал Apigee Developer Services (или просто портал ) выступает в роли клиента Apigee Edge. Это означает, что портал не функционирует как автономная система. Вместо этого большая часть информации, используемой порталом, фактически хранится в Edge. При необходимости портал делает запрос на получение информации из Edge или отправку информации в Edge.

Портал всегда связан с одной организацией Edge. При настройке портала вы можете указать базовые учетные данные аутентификации (имя пользователя и пароль) для учетной записи в организации, которую портал использует для связи с Edge.

Если вы решите включить SAML для аутентификации Edge, вы сможете настроить портал на использование аутентификации SAML при отправке запросов к Edge. При настройке портала на использование SAML автоматически создается новая учетная запись пользователя компьютера в организации Edge, которую портал затем использует для отправки запросов в Edge. Дополнительную информацию о пользователях компьютеров см. в разделе Использование SAML с автоматизированными задачами .

Для поддержки SAML на портале необходимо, чтобы вы уже установили и настроили модуль Edge SSO на узле Edge Management Server. Общий процесс включения SAML для портала:

  1. Настройте SAML на Edge, как описано в разделе Установка и настройка SAML для Edge . Примечание . Для установки портала базовая аутентификация по-прежнему должна быть включена в Edge. Не отключайте базовую аутентификацию на Edge до тех пор, пока вы не настроите портал на использование SAML.
  2. Установите портал и убедитесь, что ваша установка работает правильно. См. раздел Установка портала Edge for Private Cloud .
  3. Настройте SAML на портале.
  4. Теперь вы можете отключить базовую аутентификацию на Edge.

Создание пользователя компьютера для портала

Когда SAML включен, Edge поддерживает автоматическую генерацию токенов OAuth2 с помощью пользователей компьютеров . Пользователь компьютера может получить токены OAuth2 без необходимости указывать пароль. Это означает, что вы можете полностью автоматизировать процесс получения и обновления токенов OAuth2.

Процесс настройки SAML для портала автоматически создает пользователя компьютера в организации, связанной с порталом. Затем портал использует эту учетную запись пользователя компьютера для подключения к Edge. Дополнительную информацию о пользователях компьютеров см. в разделе Использование SAML с автоматизированными задачами .

Об аутентификации для учетных записей разработчиков портала

Когда вы настраиваете портал для использования SAML, вы разрешаете порталу использовать SAML для аутентификации в Edge, чтобы портал мог отправлять запросы в Edge. Однако портал также поддерживает тип пользователей, называемых разработчиками .

Разработчики составляют сообщество пользователей, которые создают приложения с использованием ваших API. Разработчики приложений используют портал, чтобы узнать о ваших API, зарегистрировать приложения, использующие ваши API, взаимодействовать с сообществом разработчиков и просматривать статистическую информацию об использовании своих приложений на информационной панели.

Когда разработчик входит на портал, именно портал отвечает за аутентификацию разработчика и соблюдение разрешений на основе ролей. Портал продолжает использовать базовую аутентификацию для разработчиков даже после включения SAML между порталом и Edge. Дополнительные сведения см. в разделе «Взаимодействие между порталом и Edge» .

Также можно настроить портал на использование SAML для аутентификации разработчиков. Пример включения SAML с использованием сторонних модулей Drupal см. в разделе Интеграция единого входа через SAML с порталом разработчика .

Настройте SAML на портале для связи с Edge.

Чтобы настроить SAML для портала, необходимо создать файл конфигурации для настройки портала:

# IP address of Edge Management Server and apigee-sso node.
IP1=22.222.22.222

# URL of Edge management API.
MGMT_URL=http://$IP1:8080/v1

# Org associated with the portal.
EDGE_ORG=myorg

# Information about apigee-sso.
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP1
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# Default is "n" to disable SAML support.
DEVPORTAL_SSO_ENABLED=y

# The name of the OAuth client used to connect to apigee-sso. 
# The default client name is portalcli.
PORTALCLI_SSO_CLIENT_NAME=portalcli
# Oauth client password using uppercase, lowercase, number, and special chars. 
PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1

# Email address and user info for the machine user created in 
# the Edge org specified above by EDGE_ORG. 
# This account is used by the portal to make requests to Edge.
# Add this email as an org admin before configuring the portal to use SAML. 
DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com
DEVPORTAL_ADMIN_FIRSTNAME=DevPortal
DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin
DEVPORTAL_ADMIN_PWD=Abcdefg@1

# If set, the existing portal OAuth client is deleted and new one is created.
# The default value is "n".
# Set to "y" when you configure SAML and change the value of 
# any of the PORTALCLI_* properties.
PORTALCLI_SSO_CLIENT_OVERWRITE=y

Чтобы включить поддержку SAML на портале:

  1. В пользовательском интерфейсе Edge добавьте пользователя компьютера, указанного DEVPORTAL_ADMIN_EMAIL , в организацию, связанную с порталом, в качестве администратора организации .
  2. Выполните следующую команду, чтобы настроить SAML на портале:
    /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f samlConfigFile

    Где samlConfigFile — файл конфигурации SAML.

  3. Войдите на портал как администратор портала.
  4. В главном меню Drupal выберите Configuration > Dev Portal . Появится экран конфигурации портала, включая настройки SAML:

    Обратите внимание, что флажок «Эта организация поддерживает SAML» установлен, конечная точка для модуля Edge SSO заполнена, поля «Ключ API» и «Секрет потребителя» для клиента Oauth портала заполнены, а под полем «Тест» отображается сообщение « Соединение успешно выполнено». Кнопка подключения .

  5. Вы можете нажать кнопку «Проверить соединение» , чтобы повторно проверить соединение в любое время.

Чтобы позже изменить эти значения, обновите файл конфигурации и снова запустите команду.

Отключить SAML на портале

Если вы решите отключить SAML для связи между порталом и Edge, портал больше не сможет отправлять запросы к Edge. Разработчики могут войти на портал, но не смогут просматривать продукты или создавать приложения.

Чтобы отключить SAML на портале:

  1. Отредактируйте файл конфигурации, который вы использовали для настройки SAM, чтобы установить:
    DEVPORTAL_SSO_ENABLED=n
  2. Настройте портал:
    /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile