Edge for Private Cloud phiên bản 4.19.01
Tài liệu này mô tả cách bật tính năng truy xuất và thu hồi mã truy cập OAuth 2.0 bằng mã nhận dạng người dùng cuối, mã ứng dụng hoặc cả hai.
Hệ thống sẽ tự động thêm mã ứng dụng vào mã truy cập OAuth. Do đó, sau khi bạn sử dụng quy trình bên dưới để bật quyền truy cập vào mã thông báo cho một tổ chức, bạn có thể truy cập vào mã thông báo theo mã ứng dụng.
Để truy xuất và thu hồi mã truy cập OAuth 2.0 theo mã nhận dạng người dùng cuối, bạn phải có mã nhận dạng người dùng cuối trong mã truy cập. Quy trình dưới đây mô tả cách thêm mã nhận dạng người dùng cuối vào một mã thông báo hiện có hoặc sang mã thông báo mới.
Theo mặc định, khi Edge tạo mã truy cập OAuth 2.0, mã thông báo này sẽ có định dạng:
{ "issued_at" : "1421847736581", "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a", "scope" : "READ", "status" : "approved", "api_product_list" : "[PremiumWeatherAPI]", "expires_in" : "3599", "developer.email" : "tesla@weathersample.com", "organization_id" : "0", "token_type" : "BearerToken", "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP", "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL", "organization_name" : "myorg", "refresh_token_expires_in" : "0", "refresh_count" : "0" }
Xin lưu ý những điều sau:
- Trường
application_name
chứa mã nhận dạng duy nhất (UUID) của ứng dụng được liên kết với mã thông báo đó. Nếu bạn bật tính năng truy xuất và thu hồi của mã truy cập OAuth 2.0 theo mã ứng dụng, thì đây là mã ứng dụng mà bạn sử dụng. - Trường
access_token
chứa giá trị mã truy cập OAuth 2.0.
Để bật tính năng truy xuất và thu hồi mã truy cập OAuth 2.0 theo mã nhận dạng người dùng cuối, hãy định cấu hình Chính sách OAuth 2.0 để đưa mã nhận dạng người dùng vào mã thông báo theo mô tả trong quy trình bên dưới.
Mã nhận dạng người dùng cuối là chuỗi mà Edge sử dụng làm mã nhà phát triển, không phải là email của nhà phát triển của bạn. Bạn có thể xác định mã nhận dạng của nhà phát triển từ địa chỉ email của nhà phát triển bằng cách sử dụng nút Tải Lệnh gọi API dành cho nhà phát triển.
Sau khi bạn định cấu hình Edge để đưa mã nhận dạng người dùng cuối vào mã thông báo, mã này sẽ được đưa vào dưới dạng app_enduser, như được hiển thị dưới đây:
{ "issued_at" : "1421847736581", "application_name" : "a68d01f8-b15c-4be3-b800-ceae8c456f5a", "scope" : "READ", "app_enduser" : "6ZG094fgnjNf02EK", "status" : "approved", "api_product_list" : "[PremiumWeatherAPI]", "expires_in" : "3599", "developer.email" : "tesla@weathersample.com", "organization_id" : "0", "token_type" : "BearerToken", "client_id" : "k3nJyFJIA3p62DWOkLO6OJNi87GYXFmP", "access_token" : "7S22UqXGJDTuUADGzJzjXzXSaGJL", "organization_name" : "myorg", "refresh_token_expires_in" : "0", "refresh_count" : "0" }
Các API để truy xuất và thu hồi Mã truy cập OAuth 2.0 theo mã nhận dạng người dùng và mã ứng dụng
Dùng các API sau để truy cập vào mã thông báo OAuth theo mã nhận dạng người dùng, mã ứng dụng hoặc cả hai:
- Tải OAuth 2.0 Mã truy cập theo Mã nhận dạng người dùng cuối hoặc Mã ứng dụng
- Thu hồi OAuth 2.0 Mã truy cập theo Mã nhận dạng người dùng cuối hoặc Mã ứng dụng
Quy trình bật quyền truy cập vào mã thông báo
Sử dụng quy trình sau để bật tính năng truy xuất và thu hồi mã truy cập OAuth 2.0 bằng cách mã nhận dạng người dùng cuối và mã ứng dụng.
Bước 1: Bật tính năng hỗ trợ truy cập vào mã thông báo cho tổ chức
Bạn phải bật quyền truy cập vào mã thông báo cho từng tổ chức riêng biệt. Gọi API PUT bên dưới cho mỗi API tổ chức mà bạn muốn bật tính năng truy xuất và thu hồi mã truy cập OAuth 2.0 theo mã nhận dạng người dùng cuối hoặc mã ứng dụng.
Người dùng thực hiện cuộc gọi sau phải có vai trò quản trị viên tổ chức hoặc
opsadmin
cho tổ chức. Thay thế values bằng thuộc tính của tổ chức cụ thể
giá trị:
curl -H "Content-type:text/xml" -X POST \ https://management_server_IP;:8080/v1/organizations/org_name \ -d '<Organization name="org_name"> <Properties> <Property name="features.isOAuthRevokeEnabled">true</Property> <Property name="features.isOAuth2TokenSearchEnabled">true</Property> </Properties> </Organization>' \ -u USER_EMAIL:PASSWORD
Bước 2: Đặt quyền cho vai trò opsadmin trong tổ chức
Chỉ các vai trò orgadmin
và opsadmin
trong tổ chức
phải được cấp quyền để truy xuất (HTTP GET) và thu hồi (HTTP PUT) mã thông báo OAuth 2.0 dựa trên
theo mã nhận dạng người dùng hoặc mã ứng dụng. Để kiểm soát quyền truy cập, hãy thiết lập quyền và cấp quyền cho tài nguyên /oauth2 cho
một tổ chức. Tài nguyên đó có URL ở dạng:
https://management_server_IP:8080/v1/organizations/org_name/oauth2
Vai trò orgadmin
phải có các quyền cần thiết. Đối với
Vai trò opsadmin
của tài nguyên /oauth2, các quyền sẽ có dạng như sau
sau:
<ResourcePermission path="/oauth2"> <Permissions> <Permission>get</Permission> <Permission>put</Permission> </Permissions> </ResourcePermission>
Bạn có thể sử dụng liên kết Lấy
Quyền đối với lệnh gọi API tài nguyên đơn lẻ để xem vai trò nào có quyền đối với
Tài nguyên /oauth2
.
Dựa trên câu trả lời, bạn có thể sử dụng thao tác Thêm Quyền cấp cho Tài nguyên đối với một vai trò và Xoá các lệnh gọi API quyền đối với tài nguyên để thực hiện mọi điều chỉnh cần thiết đối với /oauth2 quyền đối với tài nguyên.
Hãy dùng lệnh curl
sau đây để cấp vai trò opsadmin
Các quyền get
và put
đối với tài nguyên /oauth2
. Thay thế
values với các giá trị dành riêng cho tổ chức của bạn:
curl -X POST -H 'Content-type:application/xml' \ http://management_server_IP:8080/v1/organizations/org_name/userroles/opsadmin/permissions \ -d '<ResourcePermission path="/oauth2"> <Permissions> <Permission>get</Permission> <Permission>put</Permission> </Permissions> </ResourcePermission>' \ -u USEREMAIL:PASSWORD
Dùng lệnh curl
sau để thu hồi get
và put
các quyền đối với tài nguyên /oauth2
từ các vai trò không phải là
orgadmin
và opsadmin
. Thay thế values bằng
giá trị theo tổ chức cụ thể:
curl -X DELETE -H 'Content-type:application/xml' \ http://management_server_IP:8080/v1/organizations/org_name/userroles/roles/permissions \ -d '<ResourcePermission path="/oauth2"> <Permissions></Permissions> </ResourcePermission>' \ -u USEREMAIL:PASSWORD
Bước 3: Đặt thuộc tính oauth_max_search_limit
Đảm bảo rằng conf_keymanagement_oauth_max_search_limit
cơ sở lưu trú ở /opt/apigee/customer/application/management-server.properties
tệp được đặt thành 100:
conf_keymanagement_oauth_max_search_limit = 100
Nếu tệp này không tồn tại, hãy tạo tệp.
Tài sản này đặt kích thước trang được dùng khi tìm nạp mã thông báo. Apigee đề xuất giá trị là 100, nhưng bạn có thể thiết lập cho phù hợp.
Trên lần cài đặt mới, thuộc tính phải được đặt thành 100. Nếu phải thay đổi của thuộc tính này, hãy khởi động lại Máy chủ quản lý và Trình xử lý thư bằng cách sử dụng các lệnh:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
Bước 4: Định cấu hình chính sách OAuth 2.0 để tạo mã thông báo để bao gồm mã nhận dạng người dùng cuối
Định cấu hình chính sách OAuth 2.0 dùng để tạo mã truy cập nhằm đưa mã nhận dạng người dùng cuối vào mã thông báo. Khi đưa mã nhận dạng người dùng cuối vào mã truy cập, bạn có thể truy xuất và thu hồi mã thông báo bằng cách Mã nhận dạng.
Để định cấu hình chính sách nhằm đưa mã nhận dạng người dùng cuối vào mã truy cập, yêu cầu sẽ tạo mã truy cập phải bao gồm mã nhận dạng người dùng cuối và bạn phải chỉ định biến đầu vào chứa mã nhận dạng người dùng cuối.
Chính sách OAuth 2.0 dưới đây, có tên GenerateAccessTokenClient, tạo quyền truy cập OAuth 2.0
mã thông báo. Lưu ý việc thêm thẻ <AppEndUser>
in đậm để chỉ định
biến chứa mã nhận dạng người dùng cuối:
<OAuthV2 async="false" continueOnError="false" enabled="true" name="GenerateAccessTokenClient"> <DisplayName>OAuth 2.0.0 1</DisplayName> <ExternalAuthorization>false</ExternalAuthorization> <Operation>GenerateAccessToken</Operation> <SupportedGrantTypes> <GrantType>client_credentials</GrantType> </SupportedGrantTypes> <GenerateResponse enabled="true"/> <GrantType>request.queryparam.grant_type</GrantType> <AppEndUser>request.header.appuserID</AppEndUser> <ExpiresIn>960000</ExpiresIn> </OAuthV2>
Sau đó, bạn có thể dùng lệnh curl
sau đây để tạo quyền truy cập OAuth 2.0
mã thông báo, chuyển mã nhận dạng người dùng dưới dạng tiêu đề appuserID
:
curl -H "appuserID:6ZG094fgnjNf02EK" \ https://myorg-test.apigee.net/oauth/client_credential/accesstoken?grant_type=client_credentials \ -X POST -d 'client_id=k3nJyFJIA3p62TKIkLO6OJNXFmP&client_secret=gk5K5lIp943AY4'
Trong ví dụ này, appuserID
được truyền dưới dạng tiêu đề yêu cầu. Bạn có thể vượt qua
thông tin như một phần của yêu cầu theo nhiều cách. Ví dụ: Bạn có thể:
- Sử dụng biến tham số biểu mẫu:
request.formparam.appuserID
- Sử dụng một biến luồng để cung cấp mã nhận dạng người dùng cuối