Edge for Private Cloud v4.19.01
Wenn Sie SAML mit der Edge API verwenden, erhalten Sie den OAuth2-Zugriff und Aktualisierungstokens aus der SAML-Assertion wird als Passcode-Ablauf bezeichnet. Beim Ablauf eines Sicherheitscodes Verwenden Sie einen Browser, um einen Einmal-Sicherheitscode zu erhalten, mit dem Sie dann OAuth2-Tokens abrufen.
Ihre Entwicklungsumgebung unterstützt jedoch möglicherweise die Automatisierung gängiger Entwicklungsaufgaben, wie Testautomatisierung oder Continuous Integration/Continuous Deployment (CI/CD). Zum Automatisieren diese Aufgaben ausführen, wenn SAML aktiviert ist, müssen Sie OAuth2-Tokens ohne einen Sicherheitscode aus einem Browser kopieren und einfügen müssen.
Edge unterstützt die automatische Tokengenerierung durch die Verwendung von Computernutzern innerhalb von SAML Unternehmen. Ein Computernutzer kann OAuth2-Token abrufen, ohne einen Sicherheitscode angeben zu müssen. Das bedeutet, dass Sie Ihre Der Prozess zum Abrufen und Aktualisieren von OAuth2-Tokens mithilfe der Edge-Verwaltungs-API.
Es gibt zwei Möglichkeiten, einen Computernutzer für eine SAML-Organisation zu erstellen:
Jede dieser Methoden wird in den folgenden Abschnitten beschrieben.
Sie können keinen Computernutzer für eine Nicht-SAML-Organisation erstellen.
Computernutzer mit apigee-ssoadminapi.sh erstellen
apigee-ssoadminapi.sh verwenden
um einen Computernutzer innerhalb einer SAML-Organisation zu erstellen. Weitere Informationen finden Sie unter Verwenden von
apigee-ssoadminapi.sh. Sie können einen einzelnen Computernutzer erstellen, der von allen
Organisationen erstellen oder für jede Organisation einen separaten Computernutzer erstellen.
Der Computernutzer wird im Edge-Datenspeicher erstellt und gespeichert, nicht in Ihrer SAML-Identität Dienstanbieter. Daher sind Sie nicht für die Wartung des Computernutzers mithilfe des Edge-Browsers verantwortlich. Ui und Edge Management API
Wenn Sie den Computernutzer erstellen, müssen Sie eine E-Mail-Adresse und ein Passwort angeben. Nachher Sie den Computernutzer erstellen, weisen Sie ihn einer oder mehreren Organisationen zu.
So erstellen Sie einen Computernutzer mit apigee-ssoadminapi.sh:
- Verwenden Sie den folgenden
apigee-ssoadminapi.sh-Befehl, um den Computernutzer zu erstellen:apigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME \ --secret SSO_ADMIN_SECRET --host Edge_SSO_IP_or_DNS \ -u machine_user_email -p machine_user_password
Wobei:
- SSO_ADMIN_NAME ist der durch den
Property „
SSO_ADMIN_NAME“ in Die Konfigurationsdatei, die zum Konfigurieren des Edge-SSO-Moduls verwendet wird. Die Standardeinstellung istssoadmin - SSO_ADMIN_SECRET ist das Administratorpasswort, das im
SSO_ADMIN_SECRETfest.
In diesem Beispiel können Sie die Werte für
--portund--ssl, da das Modulapigee-ssodie Standardeinstellung 9099 für--portund http für--ssl. Wenn Ihr werden bei der Installation diese Standardeinstellungen nicht verwendet; geben Sie sie entsprechend an. - SSO_ADMIN_NAME ist der durch den
Property „
- Melden Sie sich in der Edge-Benutzeroberfläche an, fügen Sie die E-Mail-Adresse des Computernutzers zu Ihren Organisationen hinzu und weisen Sie dem Computernutzer die erforderliche Rolle. Weitere Informationen finden Sie unter Globale Nutzer hinzufügen für mehr.
Computernutzer mit Edge erstellen Verwaltungs-API
Sie können einen Computernutzer mit der Edge-Verwaltungs-API anstelle der
Dienstprogramm apigee-ssoadminapi.sh.
So erstellen Sie mit der Verwaltungs-API einen Computernutzer:
- Verwenden Sie den folgenden
curl-Befehl, um ein Token für denssoadmin-Nutzer abzurufen: Nutzername des Administratorkontos fürapigee-sso:curl "http://Edge_SSO_IP_DNS:9099/oauth/token" -i -X POST \ -H 'Accept: application/json' / -H 'Content-Type: application/x-www-form-urlencoded' \ -d "response_type=token" -d "grant_type=client_credentials" \ --data-urlencode "client_secret=SSO_ADMIN_SECRET" \ --data-urlencode "client_id=ssoadmin"
Dabei ist SSO_ADMIN_SECRET das Administratorpasswort, das Sie bei der Installation festgelegt haben.
apigee-sso, wie durch die EigenschaftSSO_ADMIN_SECRETim Konfigurationsdatei.Mit diesem Befehl wird ein Token angezeigt, das Sie für den nächsten Aufruf benötigen.
- Erstellen Sie mit dem folgenden
curl-Befehl den Computernutzer und übergeben Sie das Token, das Sie im vorherigen Schritt erhalten haben:curl "http://edge_sso_IP_DNS:9099/Users" -i -X POST \ -H "Accept: application/json" -H "Content-Type: application/json" \ -d '{"userName" : "machine_user_email", "name" : {"formatted":"DevOps", "familyName" : "last_name", "givenName" : "first_name"}, "emails" : [ {"value" : "machine_user_email", "primary" : true } ], "active" : true, "verified" : true, "password" : "machine_user_password" }' \ -H "Authorization: Bearer token"Sie benötigen das Computernutzerpasswort in späteren Schritten.
- Melden Sie sich bei der Edge-Benutzeroberfläche an.
- Fügen Sie die E-Mail-Adresse des Computernutzers Ihren Organisationen hinzu und weisen Sie den Computernutzer der die notwendige Rolle spielen. Weitere Informationen finden Sie unter Hinzufügen für Nutzer weltweit.
Maschinennutzertokens abrufen und aktualisieren
Verwenden Sie die Edge API, um OAuth2-Tokens abzurufen und zu aktualisieren, indem Sie die Anmeldedaten anstelle eines Sicherheitscodes zu verwenden.
So rufen Sie OAuth2-Tokens für den Computernutzer ab:
- Verwenden Sie den folgenden API-Aufruf, um die anfänglichen Zugriffs- und Aktualisierungstokens zu generieren:
curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \ -H "accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://Edge_SSO_IP_DNS:9099/oauth/token -s \ -d 'grant_type=password&username=m_user_email&password=m_user_password'
Speichern Sie die Tokens zur späteren Verwendung.
- Übergeben Sie das Zugriffstoken an einen Edge-Management-API-Aufruf als Bearer-Header:
curl -H "Authorization: Bearer access_token" \ http://MS_IP_DNS:8080/v1/organizations/org_name
Dabei ist org_name der Name der Organisation, zu der der Computernutzer gehört.
- Verwenden Sie den folgenden Aufruf, der die Aktualisierung enthält, um das Zugriffstoken später zu aktualisieren.
Token:
curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \ -H "Accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://edge_sso_IP_DNS:9099/oauth/token \ -d 'grant_type=refresh_token&refresh_token=refreshToken'