Utilisation des API et des utilitaires d'administration Edge après l'activation de SAML

Edge pour Private Cloud v4.19.01

Cette section explique comment exécuter les outils et les commandes d'administration système Edge après avoir activé SAML. De nombreuses tâches exécutées sur Edge nécessitent des informations d'identification d'administrateur système, telles que:

  • Créer des organisations et des environnements
  • Ajouter et supprimer des composants Edge
  • Commandes Runngin apigee-adminapi.sh

Cependant, après avoir activé SAML sur Edge, vous désactivez généralement l'authentification de base de sorte que le seul moyen à s'authentifier via l'IdP SAML. Vous devez donc vous assurer d'avoir ajouté votre compte administrateur système à votre fournisseur d'identité SAML.

Appeler des API de gestion Edge en tant que administrateur système

De nombreux appels d'API Edge nécessitent que vous transmettiez les informations d'identification de l'administrateur système. Utiliser SAML avec l'API de gestion Edge contient des instructions sur la façon d'obtenir et d'actualiser les jetons lors des appels à l'API de gestion Edge.

À l'aide du fichier apigee-adminapi.sh avec authentification SAML

Utilisez l'utilitaire apigee-adminapi.sh pour effectuer les mêmes tâches de configuration Edge que vous effectuez en appelant l'API de gestion Edge. L'avantage apigee-adminapi.sh est qu'il:

  • Utiliser une interface de ligne de commande simple
  • Implémenter l'exécution de commandes par onglets
  • Fournit de l'aide et des informations sur l'utilisation
  • Peut afficher l'appel d'API correspondant si vous décidez d'essayer l'API

Pour en savoir plus, consultez la section Utiliser apigee-ssoadminapi.sh.

Après avoir activé l'authentification SAML, vous disposez de plusieurs méthodes pour transmettre à l'utilitaire apigee-adminapi.sh.

Vous pouvez afficher toutes les options de n'importe quelle commande apigee-adminapi.sh, y compris les commandes pour spécifier les identifiants SAML, à l'aide de l'opérateur "-h" à la commande. Exemple :

apigee-adminapi.sh orgs list -h

Par exemple, vous pouvez transmettre les identifiants de l'administrateur système:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \
  --admin adminEmail --oauth-password adminPword

Où :

  • L'option sso-url spécifie l'URL du module Edge SSO. Modifier le port ou le protocole si vous les avez changées de 9099 et HTTP.
  • oauth-flow spécifie passcode ou password_grant. Dans cet exemple, vous spécifiez password_grant
  • adminEmail est l'adresse e-mail de l'administrateur système.
  • oauth-password spécifie le mot de passe de l'administrateur système.

Vous pouvez également utiliser un code secret lorsque vous appelez la commande:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-passcode passcode

Où :

  • oauth-flow spécifie passcode.
  • oauth-passcode spécifie le code secret obtenu à partir de http://edge_sso_IP_DNS:9099/passcode.

Enfin, vous pouvez utiliser un jeton lorsque vous appelez la commande:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-token token

Où :

  • oauth-flow spécifie passcode ou password_grant, selon la façon dont vous avez obtenu le jeton à l'origine. Dans cet exemple, vous spécifiez passcode, car vous avez initialement obtenu le jeton en utilisant get_token Voir Utiliser SAML avec Edge API de gestion de clés.
  • oauh_token contient le jeton.

Utilisation des utilitaires Edge avec l'authentification SAML

De nombreux utilitaires Edge nécessitent des identifiants d'administrateur système, tels que:

  • apigee-provision permet de créer des organisations, des environnements et des projets hôtes
  • setup.sh utilisé pour ajouter des nœuds à un système existant
  • Tout autre utilitaire pour lequel vous devez spécifier les identifiants de l'administrateur système dans une configuration fichier

Ces utilitaires prennent en entrée un fichier de configuration qui spécifie le nom de l'administrateur à l'aide des propriétés suivantes:

ADMIN_EMAIL="adminEmail"
APIGEE_ADMINPW=adminPWord

Si vous omettez le mot de passe, vous êtes invité à le saisir.

Une fois SAML activé, vous pouvez utiliser différentes propriétés pour spécifier les identifiants de l'administrateur système. Pour exemple, vous pouvez transmettre les identifiants de l'administrateur système:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=password_grant
OAUTH_ADMIN_PASSWORD=adminPWord

Où :

  • SSO_LOGIN_URL spécifie l'URL du module Edge SSO. Modifiez le port ou si vous les avez modifiés de 9099 et HTTP.
  • OAUTH_FLOW spécifie passcode ou password_grant Dans cet exemple, vous spécifiez password_grant, car vous transmettez le mot de passe de l'administrateur système.
  • OAUTH_ADMIN_PASSWORD spécifie le mot de passe de l'administrateur système.

Vous pouvez également utiliser les propriétés suivantes pour spécifier les identifiants dans un flux de code secret:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_ADMIN_PASSCODE=passcode

Où :

  • OAUTH_FLOW spécifie passcode.
  • OAUTH_ADMIN_PASSCODE spécifie le code secret obtenu à partir de http://edge_sso_IP_DNS:9099/passcode.

Enfin, vous pouvez utiliser un jeton

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_BEARER_TOKEN=token

Où :

  • OAUTH_FLOW spécifie passcode ou password_grant, selon la façon dont vous avez obtenu le jeton à l'origine. Dans cet exemple, vous spécifiez passcode, car vous avez initialement obtenu le jeton en utilisant get_token Voir Utiliser SAML avec Edge API de gestion de clés.
  • OAUTH_BEARER_TOKEN contient le jeton.