Utilizzo di utilità di amministrazione e API Edge dopo l'attivazione di SAML

Edge per Private Cloud v4.19.01

Questa sezione descrive come eseguire gli strumenti e i comandi di amministrazione del sistema Edge dopo aver attivato SAML. Molte attività su Edge richiedono credenziali di amministrazione del sistema, ad esempio:

  • Creazione di organizzazioni e ambienti
  • Aggiunta e rimozione di componenti Edge
  • Comandi Runngin apigee-adminapi.sh

Tuttavia, dopo aver attivato SAML su Edge, in genere disattivi l'autenticazione di base, in modo che per l'autenticazione avviene tramite l'IdP SAML. Devi quindi assicurarti di aver aggiunto il parametro amministratore di sistema al tuo IdP SAML.

Chiamare le API di gestione perimetrale come amministratore di sistema

Molte chiamate API Edge richiedono il passaggio delle credenziali di amministratore di sistema. L'utilizzo di SAML con l'API di gestione Edge contiene: istruzioni su come ottenere e aggiornare i token quando si effettuano chiamate API di Edge Management.

Con apigee-adminapi.sh utilità con autenticazione SAML

Usa l'utilità apigee-adminapi.sh per eseguire le stesse attività di configurazione perimetrale che esegui effettuando chiamate all'API Edge Management. Il vantaggio per L'utilità di apigee-adminapi.sh è che:

  • Usa una semplice interfaccia a riga di comando
  • Implementa il completamento dei comandi basato su schede
  • Fornisce assistenza e informazioni sull'utilizzo
  • Puoi visualizzare la chiamata API corrispondente se decidi di provare l'API

Per ulteriori informazioni, vedi Using apigee-ssoadminapi.sh.

Dopo aver attivato l'autenticazione SAML, hai a disposizione diversi modi per superare il controllo dell'amministratore di sistema le credenziali all'utilità apigee-adminapi.sh.

Puoi vedere tutte le opzioni per qualsiasi comando apigee-adminapi.sh, incluso il per specificare le credenziali SAML utilizzando "-h" al comando. Per esempio:

apigee-adminapi.sh orgs list -h

Ad esempio, puoi passare le credenziali dell'amministratore di sistema:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \
  --admin adminEmail --oauth-password adminPword

Dove:

  • L'opzione sso-url specifica l'URL del modulo SSO Edge. Modifica la porta o il protocollo se li hai modificati da 9099 e HTTP.
  • oauth-flow specifica passcode o password_grant. In questo esempio specifichi password_grant.
  • adminEmail è l'indirizzo email dell'amministratore di sistema.
  • oauth-password specifica la password dell'amministratore di sistema.

In alternativa, puoi utilizzare un passcode quando chiami il comando:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-passcode passcode

Dove:

  • oauth-flow specifica passcode.
  • oauth-passcode specifica il passcode ottenuto da http://edge_sso_IP_DNS:9099/passcode.

Infine, puoi utilizzare un token quando chiami il comando:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-token token

Dove:

  • oauth-flow specifica passcode o password_grant, a seconda di come hai ricevuto inizialmente il token. In questo esempio, specifica passcode perché inizialmente hai ricevuto il token utilizzando get_token. Consulta Utilizzo di SAML con Edge di Google Cloud.
  • oauh_token contiene il token.

Utilizzo delle utilità Edge con l'autenticazione SAML

Molte utilità Edge richiedono credenziali di amministratore di sistema, ad esempio:

  • apigee-provision utilizzato per creare organizzazioni, ambienti e servizi ospita
  • setup.sh utilizzato per aggiungere nodi a un sistema esistente
  • Qualsiasi altra utilità in cui è necessario specificare le credenziali di amministratore di sistema in una configurazione file

Queste utilità prendono come input un file di configurazione che specifica le credenziali utilizzando le proprietà:

ADMIN_EMAIL="adminEmail"
APIGEE_ADMINPW=adminPWord

Se ometti la password, ti viene richiesta.

Dopo aver attivato SAML, puoi utilizzare proprietà diverse per specificare le credenziali dell'amministratore di sistema. Per Ad esempio, puoi passare le credenziali dell'amministratore di sistema:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=password_grant
OAUTH_ADMIN_PASSWORD=adminPWord

Dove:

  • SSO_LOGIN_URL specifica l'URL del modulo SSO Edge. Modifica la porta o se li hai modificati da 9099 e HTTP.
  • OAUTH_FLOW specifica passcode o password_grant. In questo esempio specifichi password_grant perché stai passando la password dell'amministratore di sistema.
  • OAUTH_ADMIN_PASSWORD specifica la password dell'amministratore di sistema.

In alternativa, puoi utilizzare le seguenti proprietà per specificare le credenziali come parte di una Flusso di passcode:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_ADMIN_PASSCODE=passcode

Dove:

  • OAUTH_FLOW specifica passcode.
  • OAUTH_ADMIN_PASSCODE specifica il passcode ottenuto da http://edge_sso_IP_DNS:9099/passcode.

Infine, puoi utilizzare un token

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_BEARER_TOKEN=token

Dove:

  • OAUTH_FLOW specifica passcode o password_grant, a seconda di come hai ricevuto inizialmente il token. In questo esempio, specifichi passcode perché inizialmente hai ricevuto il token utilizzando get_token. Consulta Utilizzo di SAML con Edge di Google Cloud.
  • OAUTH_BEARER_TOKEN contiene il token.