เมื่อใช้ IDP ภายนอกกับ Edge API กระบวนการที่คุณใช้เพื่อรับการเข้าถึง OAuth2 และรีเฟรชโทเค็นจากการโต้ตอบของ IDP จะเรียกว่าขั้นตอนการใช้รหัสผ่าน ขั้นตอนรหัสผ่านคือการใช้เบราว์เซอร์เพื่อรับรหัสผ่านแบบใช้งานครั้งเดียวแล้วใช้รับโทเค็น OAuth2
อย่างไรก็ตาม สภาพแวดล้อมในการพัฒนาซอฟต์แวร์อาจรองรับการทำงานอัตโนมัติสำหรับงานการพัฒนาทั่วไป เช่น การทดสอบอัตโนมัติหรือ CI/CD หากต้องการให้งานเหล่านี้ทำงานโดยอัตโนมัติเมื่อเปิดใช้ IdP ภายนอก คุณต้องหาวิธีรับและรีเฟรชโทเค็น OAuth2 โดยไม่ต้องคัดลอก/วางรหัสผ่านจากเบราว์เซอร์
Edge รองรับการสร้างโทเค็นอัตโนมัติผ่านการใช้ผู้ใช้เครื่องภายในองค์กรที่เปิดใช้ IdP ผู้ใช้เครื่องสามารถรับโทเค็น OAuth2 ได้โดยไม่ต้องระบุรหัสผ่าน ซึ่งหมายความว่าคุณสามารถทำให้กระบวนการรับและรีเฟรชโทเค็น OAuth2 เป็นแบบอัตโนมัติได้โดยใช้ Edge Management API
การสร้างผู้ใช้เครื่องสำหรับองค์กรที่เปิดใช้ IDP มี 2 วิธีดังนี้
แต่ละวิธีจะอธิบายไว้ในหัวข้อถัดไป
คุณไม่สามารถสร้างผู้ใช้เครื่องสำหรับองค์กรที่ไม่ได้เปิดใช้ IdP ภายนอก
สร้างผู้ใช้เครื่องด้วย apigee-ssoadminapi.sh
ใช้ยูทิลิตี apigee-ssoadminapi.sh
เพื่อสร้างผู้ใช้เครื่องภายในองค์กรที่เปิดใช้ IDP ดูข้อมูลเพิ่มเติมได้ที่การใช้ apigee-ssoadminapi.sh คุณจะสร้างผู้ใช้เครื่อง 1 รายสำหรับทั้งองค์กร หรือสร้างผู้ใช้เครื่องแยกสำหรับแต่ละองค์กรก็ได้
ระบบสร้างและจัดเก็บผู้ใช้เครื่องไว้ในพื้นที่เก็บข้อมูล Edge ไม่ใช่ใน IdP ดังนั้น คุณไม่ต้องรับผิดชอบในการดูแลรักษาผู้ใช้เครื่องโดยใช้ Edge UI และ API การจัดการ Edge
เมื่อสร้างผู้ใช้เครื่อง คุณต้องระบุอีเมลและรหัสผ่าน หลังจากสร้างผู้ใช้เครื่องแล้ว คุณสามารถมอบหมายผู้ใช้ให้กับองค์กรอย่างน้อย 1 แห่งได้
วิธีสร้างผู้ใช้เครื่องด้วย apigee-ssoadminapi.sh
- ใช้คำสั่ง
apigee-ssoadminapi.sh
ต่อไปนี้เพื่อสร้างผู้ใช้เครื่องapigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME \ --secret SSO_ADMIN_SECRET --host Edge_SSO_IP_or_DNS \ -u machine_user_email -p machine_user_password
QUESTION/TBD: Does apigee-ssoadminapi.sh also take "ldap" as an argument?
โดยที่
- SSO_ADMIN_NAME คือชื่อผู้ใช้ของผู้ดูแลระบบที่พร็อพเพอร์ตี้
SSO_ADMIN_NAME
กำหนดในไฟล์การกำหนดค่าที่ใช้กำหนดค่าโมดูล SSO ของ Apigee ค่าเริ่มต้นคือssoadmin
- SSO_ADMIN_SECRET คือรหัสผ่านของผู้ดูแลระบบตามที่พร็อพเพอร์ตี้
SSO_ADMIN_SECRET
ระบุไว้ในไฟล์การกำหนดค่าในตัวอย่างนี้ คุณละเว้นค่าสำหรับ
--port
และ--ssl
ได้เนื่องจากโมดูลapigee-sso
ใช้ค่าเริ่มต้น 9099 สำหรับ--port
และ http สำหรับ--ssl
หากการติดตั้งของคุณไม่ได้ใช้ค่าเริ่มต้นเหล่านี้ ให้ระบุค่าดังกล่าวตามความเหมาะสม
- SSO_ADMIN_NAME คือชื่อผู้ใช้ของผู้ดูแลระบบที่พร็อพเพอร์ตี้
- เข้าสู่ระบบ Edge UI แล้วเพิ่มอีเมลของผู้ใช้เครื่องไปยังองค์กร รวมถึงกำหนดบทบาทที่จำเป็นให้กับผู้ใช้เครื่อง ดูการเพิ่มผู้ใช้ทั่วโลกสำหรับข้อมูลเพิ่มเติม
สร้างผู้ใช้เครื่องด้วย Edge Management API
คุณสร้างผู้ใช้เครื่องได้โดยใช้ Edge Management API แทนการใช้ยูทิลิตี apigee-ssoadminapi.sh
วิธีสร้างผู้ใช้เครื่องด้วย API การจัดการ
- ใช้คำสั่ง
curl
ต่อไปนี้เพื่อรับโทเค็นสำหรับผู้ใช้ssoadmin
ซึ่งเป็นชื่อผู้ใช้ของบัญชีผู้ดูแลระบบสำหรับapigee-sso
:curl "http://Edge_SSO_IP_DNS:9099/oauth/token" -i -X POST \ -H 'Accept: application/json' / -H 'Content-Type: application/x-www-form-urlencoded' \ -d "response_type=token" -d "grant_type=client_credentials" \ --data-urlencode "client_secret=SSO_ADMIN_SECRET" \ --data-urlencode "client_id=ssoadmin"
โดย SSO_ADMIN_SECRET คือรหัสผ่านของผู้ดูแลระบบที่คุณตั้งค่าเมื่อติดตั้ง
apigee-sso
ตามที่ระบุโดยพร็อพเพอร์ตี้SSO_ADMIN_SECRET
ในไฟล์การกำหนดค่าคำสั่งนี้จะแสดงโทเค็นที่คุณต้องใช้ในการเรียกครั้งถัดไป
- ใช้คำสั่ง
curl
ต่อไปนี้เพื่อสร้างผู้ใช้เครื่อง แล้วส่งโทเค็นที่คุณได้รับในขั้นตอนก่อนหน้าcurl "http://edge_sso_IP_DNS:9099/Users" -i -X POST \ -H "Accept: application/json" -H "Content-Type: application/json" \ -d '{"userName" : "machine_user_email", "name" : {"formatted":"DevOps", "familyName" : "last_name", "givenName" : "first_name"}, "emails" : [ {"value" : "machine_user_email", "primary" : true } ], "active" : true, "verified" : true, "password" : "machine_user_password" }' \ -H "Authorization: Bearer token"
คุณต้องใช้รหัสผ่านผู้ใช้ของเครื่องในขั้นตอนต่อๆ ไป
- ลงชื่อเข้าสู่ระบบ Edge UI
- เพิ่มอีเมลของผู้ใช้เครื่องไปยังองค์กร และมอบหมายบทบาทที่จำเป็นให้กับผู้ใช้เครื่อง ดูการเพิ่มผู้ใช้ทั่วโลกสำหรับข้อมูลเพิ่มเติม
รับและรีเฟรชโทเค็นผู้ใช้เครื่อง
ใช้ Edge API เพื่อรับและรีเฟรชโทเค็น OAuth2 โดยการส่งข้อมูลเข้าสู่ระบบของผู้ใช้เครื่องแทนการใช้รหัสผ่าน
หากต้องการรับโทเค็น OAuth2 สำหรับผู้ใช้เครื่อง ให้ทำดังนี้
- ใช้การเรียก API ต่อไปนี้เพื่อสร้างโทเค็นการเข้าถึงเริ่มต้นและรีเฟรชโทเค็น:
curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \ -H "accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://Edge_SSO_IP_DNS:9099/oauth/token -s \ -d 'grant_type=password&username=m_user_email&password=m_user_password'
เก็บโทเค็นไว้ใช้ในภายหลัง
- ส่งโทเค็นเพื่อการเข้าถึงไปยังการเรียก Edge Management API เป็นส่วนหัว
Bearer
ตามตัวอย่างต่อไปนี้curl -H "Authorization: Bearer access_token" \ http://MS_IP_DNS:8080/v1/organizations/org_name
โดยที่ org_name คือชื่อขององค์กรที่มีผู้ใช้เครื่อง
- หากต้องการรีเฟรชโทเค็นเพื่อการเข้าถึงในภายหลัง ให้ใช้การเรียกต่อไปนี้ที่มีโทเค็นการรีเฟรช
curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \ -H "Accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://edge_sso_IP_DNS:9099/oauth/token \ -d 'grant_type=refresh_token&refresh_token=refreshToken'