Edge pour Private Cloud v4.19.01
Lorsque vous utilisez SAML avec l'API Edge, le processus que vous utilisez pour obtenir un accès OAuth2 et les jetons d'actualisation de l'assertion SAML est appelé flux de code secret. Avec le flux de code secret, vous utilisez un navigateur pour obtenir un code secret à usage unique que vous utiliserez ensuite pour obtenir des jetons OAuth2.
Cependant, votre environnement de développement peut prendre en charge l'automatisation pour des tâches de développement courantes, comme l'automatisation des tests ou l'intégration et le déploiement continus (CI/CD). Pour automatiser ces tâches lorsque SAML est activé, vous avez besoin d'un moyen d'obtenir et d'actualiser les jetons OAuth2 sans sans devoir copier/coller un code secret depuis un navigateur.
Edge prend en charge la génération automatisée de jetons via l'utilisation d'utilisateurs de machine dans SAML. pour les entreprises. Un utilisateur de machine peut d'obtenir des jetons OAuth2 sans avoir à spécifier de code secret. Vous pouvez donc automatiser le processus d'obtention et d'actualisation des jetons OAuth2 à l'aide de l'API de gestion Edge.
Il existe deux façons de créer un utilisateur machine pour une organisation SAML:
Chacune de ces méthodes est décrite dans les sections suivantes.
Vous ne pouvez pas créer un utilisateur machine pour une organisation autre que SAML.
Créer un utilisateur machine avec apigee-ssoadminapi.sh
Utiliser le apigee-ssoadminapi.sh
pour créer un utilisateur machine dans une organisation SAML. Reportez-vous à la section Utilisation
apigee-ssoadminapi.sh pour en savoir plus. Vous pouvez créer un seul utilisateur
machine qui sera utilisé par tous
vos organisations, ou créer un utilisateur
machine distinct pour chaque organisation.
L'utilisateur machine est créé et stocké dans le datastore Edge, et non dans votre identité SAML un fournisseur de services agréé. Par conséquent, vous n'êtes pas responsable de la maintenance de l'utilisateur de la machine à l'aide de la solution Edge UI et API de gestion Edge.
Lorsque vous créez l'utilisateur machine, vous devez spécifier une adresse e-mail et un mot de passe. Après créer l'utilisateur de machine, vous l'attribuez à une ou plusieurs organisations.
Pour créer un utilisateur machine avec apigee-ssoadminapi.sh, procédez comme suit:
- Exécutez la commande
apigee-ssoadminapi.shsuivante pour créer l'utilisateur machine:apigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME \ --secret SSO_ADMIN_SECRET --host Edge_SSO_IP_or_DNS \ -u machine_user_email -p machine_user_password
Où :
- SSO_ADMIN_NAME est le nom d'utilisateur de l'administrateur défini par
Propriété
SSO_ADMIN_NAMEdans le fichier de configuration utilisé pour configurer le module Edge SSO. La valeur par défaut estssoadmin - SSO_ADMIN_SECRET est le mot de passe administrateur tel que spécifié par
SSO_ADMIN_SECRETdans le fichier de configuration.
Dans cet exemple, vous pouvez omettre les valeurs pour
--portet--ssl, car le moduleapigee-ssoutilise la valeur par défaut les valeurs 9 099 pour--portet http pour--ssl. Si votre installation n'utilise pas ces valeurs par défaut, spécifiez-les de manière appropriée. - SSO_ADMIN_NAME est le nom d'utilisateur de l'administrateur défini par
Propriété
- Connectez-vous à l'interface utilisateur Edge et ajoutez l'adresse e-mail de l'utilisateur machine à vos organisations et attribuez l'utilisateur machine au rôle approprié. Consultez la section Ajouter des utilisateurs globaux pour en savoir plus plus encore.
Créer un utilisateur machine avec Edge API de gestion
Vous pouvez créer un utilisateur machine à l'aide de l'API de gestion Edge au lieu d'utiliser la
Utilitaire apigee-ssoadminapi.sh.
Pour créer un utilisateur machine avec l'API de gestion, procédez comme suit:
- Utilisez la commande
curlsuivante afin d'obtenir un jeton pour l'utilisateurssoadmin, le nom d'utilisateur du compte administrateur deapigee-sso:curl "http://Edge_SSO_IP_DNS:9099/oauth/token" -i -X POST \ -H 'Accept: application/json' / -H 'Content-Type: application/x-www-form-urlencoded' \ -d "response_type=token" -d "grant_type=client_credentials" \ --data-urlencode "client_secret=SSO_ADMIN_SECRET" \ --data-urlencode "client_id=ssoadmin"
Où SSO_ADMIN_SECRET est le mot de passe administrateur que vous avez défini lors de l'installation
apigee-ssocomme spécifié par la propriétéSSO_ADMIN_SECRETdans fichier de configuration.Cette commande affiche un jeton dont vous avez besoin pour effectuer l'appel suivant.
- Exécutez la commande
curlsuivante pour créer l'utilisateur machine, en transmettant le jeton que vous reçues à l'étape précédente:curl "http://edge_sso_IP_DNS:9099/Users" -i -X POST \ -H "Accept: application/json" -H "Content-Type: application/json" \ -d '{"userName" : "machine_user_email", "name" : {"formatted":"DevOps", "familyName" : "last_name", "givenName" : "first_name"}, "emails" : [ {"value" : "machine_user_email", "primary" : true } ], "active" : true, "verified" : true, "password" : "machine_user_password" }' \ -H "Authorization: Bearer token"Vous aurez besoin du mot de passe utilisateur de la machine lors d'étapes ultérieures.
- Connectez-vous à l'interface utilisateur Edge.
- Ajoutez l'adresse e-mail de l'utilisateur machine à vos organisations et affectez cet utilisateur au groupe rôle nécessaire. Reportez-vous à la section Ajout des utilisateurs dans le monde.
Obtenir et actualiser des jetons utilisateur machine
Utilisez l'API Edge pour obtenir et actualiser les jetons OAuth2 en transmettant les au lieu d'un code secret.
Pour obtenir des jetons OAuth2 pour l'utilisateur machine:
- Utilisez l'appel d'API suivant pour générer les jetons d'accès et d'actualisation initiaux:
curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \ -H "accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://Edge_SSO_IP_DNS:9099/oauth/token -s \ -d 'grant_type=password&username=m_user_email&password=m_user_password'
Conservez les jetons pour une utilisation ultérieure.
- Transmettez le jeton d'accès à un appel d'API de gestion Edge en tant qu'en-tête de support:
curl -H "Authorization: Bearer access_token" \ http://MS_IP_DNS:8080/v1/organizations/org_name
Où org_name correspond au nom de l'organisation hébergeant l'utilisateur machine.
- Pour actualiser ultérieurement le jeton d'accès, utilisez l'appel suivant, qui inclut l'actualisation
jeton:
curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \ -H "Accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://edge_sso_IP_DNS:9099/oauth/token \ -d 'grant_type=refresh_token&refresh_token=refreshToken'