Edge for Private Cloud phiên bản 4.19.01
Phần này mô tả cách chạy các lệnh và công cụ quản trị hệ thống của Edge sau khi bật SAML. Nhiều tác vụ trên Edge yêu cầu thông tin đăng nhập của quản trị viên hệ thống, chẳng hạn như:
- Xây dựng tổ chức và môi trường
- Thêm và xoá các thành phần Edge
- Lệnh Runngin apigee-adminapi.sh
Tuy nhiên, sau khi bật SAML trên Edge, bạn thường tắt tính năng Xác thực cơ bản để cách duy nhất để xác thực là thông qua nhà cung cấp danh tính (IDP) dựa trên SAML. Do đó, bạn phải đảm bảo rằng bạn đã thêm tài khoản quản trị viên hệ thống với IDP SAML của bạn.
Gọi API quản lý Edge làm quản trị viên hệ thống
Nhiều lệnh gọi API Edge yêu cầu bạn chuyển thông tin đăng nhập của quản trị viên hệ thống. Sử dụng SAML với API quản lý Edge có chứa hướng dẫn về cách lấy và làm mới mã thông báo khi thực hiện lệnh gọi API quản lý Edge.
Sử dụng apigee-adminapi.sh tiện ích có xác thực SAML
Sử dụng tiện ích apigee-adminapi.sh
để thực hiện các tác vụ định cấu hình tương tự cho Edge
mà bạn thực hiện bằng cách gọi API quản lý Edge. Lợi thế đối với
Tiện ích của apigee-adminapi.sh
là:
- Sử dụng giao diện dòng lệnh đơn giản
- Triển khai hoàn tất lệnh dựa trên thẻ
- Cung cấp thông tin trợ giúp và thông tin về việc sử dụng
- Có thể hiển thị lệnh gọi API tương ứng nếu bạn quyết định dùng thử API
Để biết thêm thông tin, hãy xem phần Sử dụng apigee-ssoadminapi.sh.
Sau khi bật tính năng xác thực SAML, bạn có một số cách để chuyển cho quản trị viên hệ thống
vào tiện ích apigee-adminapi.sh
.
Bạn có thể thấy tất cả các tuỳ chọn cho lệnh apigee-adminapi.sh
bất kỳ, bao gồm
tuỳ chọn để chỉ định thông tin xác thực SAML bằng cách sử dụng "-h" vào lệnh. Ví dụ:
apigee-adminapi.sh orgs list -h
Ví dụ: bạn có thể chuyển thông tin đăng nhập của quản trị viên hệ thống:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \ --admin adminEmail --oauth-password adminPword
Trong trường hợp:
- Tuỳ chọn
sso-url
chỉ định URL của mô-đun SSO của cạnh. Sửa đổi cổng hoặc giao thức nếu bạn đã thay đổi chúng từ 9099 và HTTP. oauth-flow
chỉ định một trong haipasscode
hoặcpassword_grant
. Trong ví dụ này, bạn chỉ địnhpassword_grant
.- adminEmail là địa chỉ email của quản trị viên hệ thống.
oauth-password
chỉ định mật khẩu của quản trị viên hệ thống.
Ngoài ra, bạn có thể sử dụng mật mã khi gọi lệnh:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-passcode passcode
Trong trường hợp:
oauth-flow
chỉ địnhpasscode
.oauth-passcode
chỉ định mật mã mà bạn nhận được từhttp://edge_sso_IP_DNS:9099/passcode.
Cuối cùng, bạn có thể sử dụng mã thông báo khi gọi lệnh:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-token token
Trong trường hợp:
oauth-flow
chỉ địnhpasscode
hoặcpassword_grant
, tuỳ thuộc vào cách bạn nhận được mã thông báo ban đầu. Trong ví dụ này, bạn chỉ địnhpasscode
vì ban đầu bạn đã nhận được mã thông báo bằng cách sử dụngget_token
Xem phần Sử dụng SAML với Edge Management API.oauh_token
chứa mã thông báo.
Sử dụng các tiện ích Edge có tính năng xác thực SAML
Nhiều tiện ích Edge yêu cầu thông tin đăng nhập của quản trị viên hệ thống, chẳng hạn như:
apigee-provision
dùng để tạo các tổ chức, môi trường và môi trường ảo máy chủ lưu trữsetup.sh
dùng để thêm các nút vào một hệ thống hiện có- Mọi tiện ích khác mà bạn phải chỉ định thông tin đăng nhập của quản trị viên hệ thống trong một cấu hình tệp
Các phần mềm tiện ích này nhập vào một tệp cấu hình để chỉ định thông tin thông tin xác thực bằng cách sử dụng các thuộc tính:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Nếu bỏ qua mật khẩu, thì bạn sẽ được nhắc nhập mật khẩu đó.
Sau khi bật SAML, bạn sử dụng các thuộc tính khác để chỉ định thông tin xác thực của quản trị viên hệ thống. Cho ví dụ: bạn có thể chuyển thông tin đăng nhập của quản trị viên hệ thống:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
Trong trường hợp:
SSO_LOGIN_URL
chỉ định URL của mô-đun SSO của Edge. Sửa đổi cổng hoặc giao thức nếu bạn đã thay đổi chúng từ 9099 và HTTP.OAUTH_FLOW
chỉ địnhpasscode
hoặcpassword_grant
. Trong ví dụ này, bạn chỉ địnhpassword_grant
vì bạn đang chuyển mật khẩu của quản trị viên hệ thống.OAUTH_ADMIN_PASSWORD
chỉ định mật khẩu của quản trị viên hệ thống.
Ngoài ra, bạn có thể sử dụng các thuộc tính sau để chỉ định thông tin xác thực trong quá trình quy trình mật mã:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
Trong trường hợp:
OAUTH_FLOW
chỉ địnhpasscode
.OAUTH_ADMIN_PASSCODE
chỉ định mật mã mà bạn nhận được từhttp://edge_sso_IP_DNS:9099/passcode.
Cuối cùng, bạn có thể dùng một mã thông báo
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
Trong trường hợp:
OAUTH_FLOW
chỉ địnhpasscode
hoặcpassword_grant
, tuỳ thuộc vào cách bạn nhận được mã thông báo ban đầu. Trong ví dụ này, bạn chỉ địnhpasscode
vì ban đầu bạn nhận được mã thông báo bằng cách sử dụngget_token
Xem phần Sử dụng SAML với Edge Management API.OAUTH_BEARER_TOKEN
chứa mã thông báo.