Private Cloud용 Edge v4.19.01
Edge API에서 SAML을 사용할 때 OAuth2 액세스 및 SAML 어설션의 갱신 토큰을 비밀번호 흐름이라고 합니다. 비밀번호 흐름을 사용하면 브라우저를 사용하여 OAuth2 토큰을 받는 데 사용하는 일회용 비밀번호를 가져옵니다.
그러나 개발 환경에서 일반적인 개발 작업을 위한 자동화를 지원할 수 있습니다. 테스트 자동화 또는 지속적 통합/지속적 배포 (CI/CD)를 예로 들 수 있습니다. 자동화하기 위해 SAML을 사용 설정하면 이러한 작업을 실행할 때 다른 사용자 인증 없이 OAuth2 토큰을 받아 브라우저에서 비밀번호를 복사/붙여넣기해야 함
Edge는 SAML 내에서 머신 사용자를 사용하여 자동화된 토큰 생성을 지원합니다. 액세스할 수 있습니다 머신 사용자는 비밀번호를 지정할 필요 없이 OAuth2 토큰을 가져올 수 있습니다. 즉, 인프라 관리 및 Edge 관리 API를 사용하여 OAuth2 토큰을 가져오고 새로고침하는 프로세스입니다.
SAML 조직의 시스템 사용자를 만드는 방법에는 두 가지가 있습니다.
각 메서드는 다음 섹션에 설명되어 있습니다.
SAML이 아닌 조직에는 머신 사용자를 만들 수 없습니다.
apigee-ssoadminapi.sh로 머신 사용자 만들기
apigee-ssoadminapi.sh 사용
유틸리티를 사용하여 SAML 조직 내에 시스템 사용자를 생성합니다. 자세한 내용은 사용
자세한 내용은 apigee-ssoadminapi.sh를 참조하세요. 내 조직의 모든 직원이 사용하는 단일 머신 사용자를
조직별로 머신 사용자를 만들거나 조직별로 별도의 머신 사용자를 만들 수 있습니다.
머신 사용자가 SAML ID가 아닌 Edge 데이터 스토어에 생성되고 저장됩니다. 제공업체 따라서 Edge UI 및 Edge 관리 API.
머신 사용자를 만들 때 이메일 주소와 비밀번호를 지정해야 합니다. 후(After) 하나 이상의 조직에 할당합니다.
apigee-ssoadminapi.sh로 머신 사용자를 만들려면 다음 안내를 따르세요.
- 다음
apigee-ssoadminapi.sh명령어를 사용하여 머신 사용자를 만듭니다.apigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME \ --secret SSO_ADMIN_SECRET --host Edge_SSO_IP_or_DNS \ -u machine_user_email -p machine_user_password
각 항목의 의미는 다음과 같습니다.
- SSO_ADMIN_NAME은
속성
SSO_ADMIN_NAME개 위치 Edge SSO 모듈을 구성하는 데 사용되는 구성 파일입니다. 기본값은ssoadmin - SSO_ADMIN_SECRET는
구성 파일의
SSO_ADMIN_SECRET속성
이 예시에서는
--port의 값을 생략할 수 있으며--ssl,apigee-sso모듈이 기본값을 사용하기 때문입니다.--port의 경우 9099,--ssl의 경우 http입니다. 만약 설치 시 이러한 기본값을 사용하지 않으므로 적절하게 지정하세요. - SSO_ADMIN_NAME은
속성
- Edge UI에 로그인하여 머신 사용자의 이메일을 조직에 추가한 다음 머신 사용자에게 필요한 역할에 할당할 수 있습니다 다음의 글로벌 사용자 추가를 참조하세요. 자세히 알아보세요.
Edge로 머신 사용자 만들기 관리 API
다음을 사용하는 대신 Edge 관리 API를 사용하여 머신 사용자를 만들 수 있습니다.
apigee-ssoadminapi.sh 유틸리티입니다.
관리 API로 머신 사용자를 만들려면 다음 안내를 따르세요.
- 다음
curl명령어를 사용하여ssoadmin사용자인apigee-sso관리자 계정의 사용자 이름:curl "http://Edge_SSO_IP_DNS:9099/oauth/token" -i -X POST \ -H 'Accept: application/json' / -H 'Content-Type: application/x-www-form-urlencoded' \ -d "response_type=token" -d "grant_type=client_credentials" \ --data-urlencode "client_secret=SSO_ADMIN_SECRET" \ --data-urlencode "client_id=ssoadmin"
여기서 SSO_ADMIN_SECRET는 설치 시 설정한 관리자 비밀번호입니다.
apigee-sso속성 지정SSO_ADMIN_SECRET속성 구성 파일을 참조하세요.이 명령어는 다음 호출에 필요한 토큰을 표시합니다.
- 다음
curl명령어를 사용하여 머신 사용자를 만들고 생성한 토큰을 전달합니다. 다음과 같습니다.curl "http://edge_sso_IP_DNS:9099/Users" -i -X POST \ -H "Accept: application/json" -H "Content-Type: application/json" \ -d '{"userName" : "machine_user_email", "name" : {"formatted":"DevOps", "familyName" : "last_name", "givenName" : "first_name"}, "emails" : [ {"value" : "machine_user_email", "primary" : true } ], "active" : true, "verified" : true, "password" : "machine_user_password" }' \ -H "Authorization: Bearer token"이후 단계에서 시스템 사용자 비밀번호가 필요합니다.
- Edge UI에 로그인합니다.
- 시스템 사용자의 이메일을 조직에 추가하고 시스템 사용자를 역할을 맡길 수 있습니다 추가 전 세계 사용자에게 문의하세요.
머신 사용자 토큰 획득 및 갱신
Edge API를 사용하여 OAuth2 토큰을 가져오고 새로 고치려면 머신 사용자의 사용자 인증 정보를 입력합니다.
머신 사용자의 OAuth2 토큰을 가져오는 방법은 다음과 같습니다.
- 다음 API 호출을 사용하여 초기 액세스 및 갱신 토큰을 생성합니다.
curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \ -H "accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://Edge_SSO_IP_DNS:9099/oauth/token -s \ -d 'grant_type=password&username=m_user_email&password=m_user_password'
나중에 사용할 수 있도록 토큰을 저장합니다.
- 액세스 토큰을 Edge 관리 API 호출에 Bearer 헤더로 전달합니다.
curl -H "Authorization: Bearer access_token" \ http://MS_IP_DNS:8080/v1/organizations/org_name
여기서 org_name은 머신 사용자가 포함된 조직의 이름입니다.
- 나중에 액세스 토큰을 갱신하려면 갱신이 포함된 다음 호출을 사용합니다.
토큰:
curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \ -H "Accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://edge_sso_IP_DNS:9099/oauth/token \ -d 'grant_type=refresh_token&refresh_token=refreshToken'