Edge for Private Cloud v4.19.01
Apigee 开发者服务门户(简称“门户”)充当 Apigee Edge 的客户端。这意味着门户无法作为独立系统运行。相反,门户使用的大部分信息实际上都存储在 Edge 上。如有必要,门户会发出从 Edge 检索信息或向 Edge 发送信息的请求。
门户始终与单个 Edge 组织相关联。配置门户时,您可以为组织指定帐号与 Cloud Identity 通信时要使用的帐号的基本身份验证凭据(用户名和密码)。
如果您选择为 SAML 启用 Edge 身份验证,则可以将门户配置为在向 Edge 发出请求时使用 SAML 身份验证。如果将门户配置为使用 SAML,系统会在边缘组织中自动创建一个新的机器用户帐号,以供该门户向 Edge 发出请求。如需详细了解机器用户,请参阅将 SAML 与自动任务搭配使用。
要想实现门户的 SAML 支持,您必须在边缘管理服务器节点上安装并配置 Edge SSO 模块。为门户启用 SAML 的一般流程如下:
- 在 Edge 上配置 SAML,如适用于 Edge 的 SAML 安装和配置中所述。注意:必须在 Edge 上启用基本身份验证才能安装门户。在将门户配置为使用 SAML 之前,请不要在 Edge 上停用基本身份验证。
- 安装该门户,并确保您的安装正常工作。请参阅安装适用于私有云的 Edge 门户。
- 在门户上配置 SAML。
- 现在,您可以在 Edge 上停用基本身份验证。
为门户创建机器用户
启用 SAML 后,Edge 支持使用机器用户自动生成 OAuth2 令牌。机器用户可以获取 OAuth2 令牌,而无需指定密码。这意味着您可以完全自动化地获取和刷新 OAuth2 令牌的过程。
根据门户的 SAML 配置流程,系统会自动在与门户关联的组织中创建机器用户。然后,门户会使用此机器用户帐号连接到 Edge。如需详细了解机器用户,请参阅将 SAML 与自动任务搭配使用。
门户开发者帐号身份验证简介
将门户配置为使用 SAML 时,门户可以通过 SAML 向 Edge 进行身份验证,使该门户可以向 Edge 发出请求。不过,该门户还支持一种称为“开发者”的用户。
开发者使用您的 API 构建应用的用户社区。应用开发者可通过该门户了解您的 API、注册使用您的 API 的应用、与开发者社区互动,并在信息中心查看关于其应用使用情况的统计信息。
当开发者登录门户时,该门户将负责验证开发者和强制执行基于角色的权限。即使您在此门户和 Edge 之间启用了 SAML,门户仍会继续向开发者使用基本身份验证。如需了解详情,请参阅在门户和 Edge 之间通信。
还可以将门户配置为使用 SAML 对开发者进行身份验证。如需查看使用第三方 Drupal 模块启用 SAML 的示例,请参阅通过 SAML 与开发者门户进行单点登录集成。
配置门户上的 SAML 以与 Edge 通信
要为门户配置 SAML,您必须创建一个配置文件来配置门户:
# IP address of Edge Management Server and apigee-sso node. IP1=22.222.22.222 # URL of Edge management API. MGMT_URL=http://$IP1:8080/v1 # Org associated with the portal. EDGE_ORG=myorg # Information about apigee-sso. # Externally accessible IP or DNS of apigee-sso. SSO_PUBLIC_URL_HOSTNAME=$IP1 SSO_PUBLIC_URL_PORT=9099 # Default is http. Set to https if you enabled TLS on apigee-sso. SSO_PUBLIC_URL_SCHEME=http # SSO admin credentials as set when you installed apigee-sso. SSO_ADMIN_NAME=ssoadmin SSO_ADMIN_SECRET=Secret123 # Default is "n" to disable SAML support. DEVPORTAL_SSO_ENABLED=y # The name of the OAuth client used to connect to apigee-sso. # The default client name is portalcli. PORTALCLI_SSO_CLIENT_NAME=portalcli # Oauth client password using uppercase, lowercase, number, and special chars. PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1 # Email address and user info for the machine user created in # the Edge org specified above by EDGE_ORG. # This account is used by the portal to make requests to Edge. # Add this email as an org admin before configuring the portal to use SAML. DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com DEVPORTAL_ADMIN_FIRSTNAME=DevPortal DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin DEVPORTAL_ADMIN_PWD=Abcdefg@1 # If set, the existing portal OAuth client is deleted and new one is created. # The default value is "n". # Set to "y" when you configure SAML and change the value of # any of the PORTALCLI_* properties. PORTALCLI_SSO_CLIENT_OVERWRITE=y
如需在门户上启用 SAML 支持,请执行以下操作:
- 在边缘界面中,将
DEVPORTAL_ADMIN_EMAIL
指定的机器用户添加到与门户关联的组织作为 Organization Administrator。 - 运行以下命令以在该门户上配置 SAML:
/opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f samlConfigFile
其中,samlConfigFile 是 SAML 配置文件。
- 以门户管理员身份登录门户。
- 在 Drupal 主菜单中,依次选择 Configuration > Dev Portal(配置 > 开发门户)。系统会显示门户配置屏幕,包括 SAML 设置:
请注意,此组织已启用 SAML 复选框处于选中状态,边缘 SSO 模块的端点已填写,门户 OAuth 客户端的 API 密钥和使用方密钥字段已填写,并且测试成功按钮下方显示连接成功消息。
- 您可以随时按测试连接按钮重新测试连接。
以后如需更改这些值,请更新配置文件并再次运行该命令。
停用门户上的 SAML
如果您选择为 SAML 门户停用与门户之间的通信,该门户将无法再向 Edge 发出请求。开发者可以登录门户,但无法查看产品或创建应用。
如需在门户上停用 SAML,请执行以下操作:
- 修改用于配置 SAM 以设置的配置文件:
DEVPORTAL_SSO_ENABLED=n
- 配置门户:
/opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile