Edge for Private Cloud גרסה 4.19.01
כשמשתמשים ב-SAML עם Edge API, התהליך שבו משתמשים כדי לקבל גישה ל-OAuth2 ואסימוני רענון מטענת הנכוֹנוּת (assertion) של SAML נקרא 'תהליך קוד הגישה'. בתהליך יצירת קוד הגישה, עליך להשתמש בדפדפן כדי לקבל קוד גישה חד-פעמי, ולאחר מכן להשתמש בו כדי לקבל אסימוני OAuth2.
עם זאת, יכול להיות שסביבת הפיתוח תומכת באוטומציה למשימות פיתוח נפוצות, כמו אוטומציה של בדיקות או אינטגרציה רציפה/פריסה רציפה (CI/CD). כדי להפוך את המשימות האלה לאוטומטיות כש-SAML מופעל, יש דרך לקבל ולרענן אסימוני OAuth2 בלי להעתיק ולהדביק קוד גישה מהדפדפן.
Edge תומך ביצירת אסימונים באופן אוטומטי באמצעות שימוש במשתמשי מכונות בארגונים שמשתמשים ב-SAML. משתמש במכונה יכול לקבל אסימוני OAuth2 בלי לציין קוד גישה. המשמעות היא שאפשר להפוך את תהליך הקבלה והרענון של אסימוני OAuth2 לאוטומטי באמצעות ה-Edge Management API.
יש שתי דרכים ליצור משתמש במכונה לארגון SAML:
כל אחת משיטות אלה מתוארת בסעיפים הבאים.
לא ניתן ליצור משתמש במחשב לארגון שאינו SAML.
יצירת משתמש במכונה באמצעות apigee-ssoadminapi.sh
אפשר להשתמש בכלי העזר apigee-ssoadminapi.sh
כדי ליצור משתמש במכונה בארגון SAML. למידע נוסף, אפשר לקרוא את המאמר שימוש
ב-apigee-ssoadminapi.sh. אפשר ליצור משתמש אחד שישמש את כל הארגונים שלך, או ליצור משתמש נפרד במכונה לכל ארגון.
המשתמש במכונה נוצר ומאוחסן במאגר הנתונים של Edge, ולא אצל ספק הזהויות של SAML. לכן, אינכם אחראים לתחזוקת המשתמש במכונה באמצעות Edge Ui ו-Edge Management API.
כשיוצרים את המשתמש במכונה, צריך לציין כתובת אימייל וסיסמה. אחרי יצירת המשתמש במכונה, צריך להקצות אותו לארגון אחד או יותר.
כדי ליצור משתמש במכונה עם apigee-ssoadminapi.sh
:
- כדי ליצור את המשתמש במכונה, משתמשים בפקודה
apigee-ssoadminapi.sh
הבאה:apigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME \ --secret SSO_ADMIN_SECRET --host Edge_SSO_IP_or_DNS \ -u machine_user_email -p machine_user_password
כאשר:
- SSO_ADMIN_NAME הוא שם המשתמש של האדמין שהוגדר על ידי המאפיין
SSO_ADMIN_NAME
בקובץ התצורה שמשמש להגדרת מודול ה-SSO של Edge. ברירת המחדל היאssoadmin
. - SSO_ADMIN_SECRET היא סיסמת האדמין כפי שצוינה
בנכס
SSO_ADMIN_SECRET
בקובץ התצורה.
בדוגמה הזו, אפשר להשמיט את הערכים של
--port
ושל--ssl
כי המודולapigee-sso
משתמש בערכי ברירת המחדל 9099 עבור--port
ו-http עבור--ssl
. אם ההתקנה לא משתמשת בברירות המחדל האלה, צריך לציין אותן לפי הצורך. - SSO_ADMIN_NAME הוא שם המשתמש של האדמין שהוגדר על ידי המאפיין
- מתחברים לממשק המשתמש של Edge, מוסיפים את האימייל של המשתמש במכונה לארגונים ולהקצות את המשתמש במכונה לתפקיד הדרוש. למידע נוסף, אפשר לעיין בהוספת משתמשים גלובליים.
איך יוצרים משתמש במכונה עם Edge Management API
אפשר ליצור משתמש במכונה באמצעות Edge Management API במקום להשתמש
בכלי השירות apigee-ssoadminapi.sh
.
כדי ליצור משתמש במכונה עם ממשק ה-API לניהול:
- משתמשים בפקודה
curl
הבאה כדי לקבל אסימון עבור המשתמש ב-ssoadmin
, שם המשתמש של חשבון האדמין שלapigee-sso
:curl "http://Edge_SSO_IP_DNS:9099/oauth/token" -i -X POST \ -H 'Accept: application/json' / -H 'Content-Type: application/x-www-form-urlencoded' \ -d "response_type=token" -d "grant_type=client_credentials" \ --data-urlencode "client_secret=SSO_ADMIN_SECRET" \ --data-urlencode "client_id=ssoadmin"
כאשר SSO_ADMIN_SECRET היא סיסמת האדמין שהגדרתם כשהתקנתם את
apigee-sso
כפי שצוינה במאפייןSSO_ADMIN_SECRET
בקובץ התצורה.הפקודה מציגה אסימון שנדרש כדי לבצע את הקריאה הבאה.
- כדי ליצור את המשתמש במכונה, משתמשים בפקודה
curl
הבאה ומעבירים את האסימון שקיבלתם בשלב הקודם:curl "http://edge_sso_IP_DNS:9099/Users" -i -X POST \ -H "Accept: application/json" -H "Content-Type: application/json" \ -d '{"userName" : "machine_user_email", "name" : {"formatted":"DevOps", "familyName" : "last_name", "givenName" : "first_name"}, "emails" : [ {"value" : "machine_user_email", "primary" : true } ], "active" : true, "verified" : true, "password" : "machine_user_password" }' \ -H "Authorization: Bearer token"
בשלבים הבאים תידרשו להזין את סיסמת המשתמש במכונה.
- מתחברים לממשק המשתמש של Edge.
- צריך להוסיף את האימייל של המשתמש במכונה לארגונים שלך ולהקצות למשתמש הזה את התפקיד הנדרש. למידע נוסף, אפשר לקרוא את המאמר הוספת משתמשים גלובליים.
קבלה ורענון של אסימוני משתמש במכונה
אפשר להשתמש ב-Edge API כדי לקבל ולרענן את אסימוני OAuth2 על ידי העברת פרטי הכניסה של המשתמש במכונה במקום קוד גישה.
כדי לקבל אסימוני OAuth2 עבור המשתמש במכונה:
- כדי ליצור את אסימוני הגישה והרענון הראשוניים, צריך להשתמש בקריאה הבאה ל-API:
curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \ -H "accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://Edge_SSO_IP_DNS:9099/oauth/token -s \ -d 'grant_type=password&username=m_user_email&password=m_user_password'
לשמור את האסימונים לשימוש במועד מאוחר יותר.
- מעבירים את אסימון הגישה אל קריאה ל-Edge Management API בתור הכותרת של Bearer:
curl -H "Authorization: Bearer access_token" \ http://MS_IP_DNS:8080/v1/organizations/org_name
org_name הוא שם הארגון שמכיל את המשתמש במכונה.
- כדי לרענן את אסימון הגישה מאוחר יותר, יש להשתמש בקריאה הבאה שכוללת את אסימון הרענון:
curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \ -H "Accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://edge_sso_IP_DNS:9099/oauth/token \ -d 'grant_type=refresh_token&refresh_token=refreshToken'