Edge Management API で外部 IDP を使用する

Basic 認証は、Edge Management API を呼び出す際の認証方法の一つです。たとえば、次の curl リクエストを Edge Management API に送信すると、組織に関する情報にアクセスできます。

curl -u userName:pWord https://ms_IP_DNS:8080/v1/organizations/orgName

この例では、curl -u オプションを使用して Basic 認証情報を渡しています。また、次の例のように、Bearer ヘッダーで OAuth2 トークンを渡して Edge Management API 呼び出しを行うこともできます。

curl -H "Authorization: Bearer access_token" https://ms_IP_DNS:8080/v1/organizations/orgName

認証用に外部 IDP を有効にした後、必要に応じて Basic 認証を無効にできます。Basic 認証を無効にすると、Basic 認証をサポートする Edge Management API 呼び出しに依存するすべてのスクリプト(Maven、シェル、apigeetool など)が機能しなくなります。Basic 認証を使用する API 呼び出しとスクリプトを更新して、Bearer ヘッダーで OAuth2 アクセス トークンを渡す必要があります。

get_token でトークンを取得および更新する

get_token ユーティリティは、基本的な認証情報(場合によってはパスコード)を OAuth2 アクセス トークンおよび更新トークンと交換します。get_token ユーティリティはユーザーの認証情報を受け入れ、有効なアクセス トークンを返します。トークンを更新できる場合は、トークンを更新して返します。更新トークンが期限切れになると、ユーザー認証情報の入力を求められます。

get_token ユーティリティはトークンをディスクに格納し、必要なときにすぐに使用できます。また、有効なアクセス トークンを stdout に出力します。そこから、Postman などのブラウザ拡張機能を使用することも、curl で使用するために環境変数に埋め込みます。

OAuth2 アクセス トークンを取得して Edge Management API を呼び出すには:

  1. sso-cli バンドルをダウンロードします。 
    curl http://edge_sso_IP_DNS:9099/resources/scripts/sso-cli/ssocli-bundle.zip -o "ssocli-bundle.zip"

    ここで、edge_sso_IP_DNS は Apigee SSO モジュールをホストするマシンの IP アドレスまたは DNS 名です。Apigee SSO で TLS を構成した場合は、https と正しい TLS ポート番号を使用します。

  2. 次の例のように ssocli-bundle.zip バンドルを解凍します。 
    unzip ssocli-bundle.zip
  3. 次の例のように、/usr/local/binget_token をインストールします。 
    ./install -b path

    -b オプションは別の場所を指定します。

  4. SSO_LOGIN_URL 環境変数に次の形式を使用して、ログイン URL に設定します。 
    export SSO_LOGIN_URL="http://edge_sso_IP_DNS:9099"

    ここで、edge_sso_IP_DNS は Apigee SSO モジュールをホストするマシンの IP アドレスです。Apigee SSO で TLS を構成した場合は、https と正しい TLS ポート番号を使用します。

  5. (SAML のみ)ブラウザで次の URL に移動してワンタイム パスコードを取得します。 
    http://edge_sso_IP_DNS:9099/passcode

    Apigee SSO で TLS を構成した場合は、https と正しい TLS ポート番号を使用します。

    このリクエストは、ワンタイム パスコードを返します。このパスコードは、その URL を更新して新しいパスコードを取得するか、get_token を指定してパスコードを使用してアクセス トークンを生成するまで有効です。

    パスコードを使用できるのは、SAML IDP による認証の場合のみです。LDAP IDP による認証にパスコードを使用することはできません。

  6. 次の例のように、get_token を呼び出して OAuth2 アクセス トークンを取得します。 
    get_token -u emailAddress

    ここで、emailAddress は Edge ユーザーのメールアドレスです。

    (SAML のみ)次の例のように、メールアドレスに加えてコマンドラインでパスコードを入力します。

    get_token -u emailAddress -p passcode

    get_token ユーティリティは OAuth2 アクセス トークンを取得して画面に出力し、更新トークンを ~/.sso-cli に書き込みます。

  7. 次の例のように、アクセス トークンを Bearer ヘッダーとして Edge Management API 呼び出しに渡します。 
    curl -H "Authorization: Bearer access_token"
  https://ms_IP:8080/v1/organizations/orgName
  8. 初めて新しいアクセス トークンを取得した後は、次の例のように、アクセス トークンを取得して 1 つのコマンドで API 呼び出しに渡すことができます。 
    header=`get_token` && curl -H "Authorization: Bearer $header"
  https://ms_IP:8080/v1/o/orgName

    この形式のコマンドを使用すると、アクセス トークンが期限切れになると、更新トークンが期限切れになるまで自動的に更新されます。

(SAML のみ)更新トークンの有効期限が切れると、get_token から新しいパスコードの入力を求められます。新しい OAuth アクセス トークンを生成するには、上記のステップ 3 で示した URL にアクセスして新しいパスコードを生成する必要があります。

Management API を使用してトークンを取得して更新する

Apigee Edge Management API で OAuth2 セキュリティを使用するでは、Edge Management API を使用してトークンを取得、更新する方法を説明します。Edge API 呼び出しを使用して、SAML アサーションから生成されたトークンを取得することもできます。

Apigee Edge Management API での OAuth2 セキュリティの使用で説明されている API 呼び出しとの唯一の違いは、呼び出しの URL でゾーン名を参照する必要があることです。また、SAML IDP で初期アクセス トークンを生成するには、上記の手順のステップ 3 に示すように、パスコードを含める必要があります。

認可のために、予約済みの OAuth2 クライアント認証情報を Authorization ヘッダーで渡します。この呼び出しにより、アクセス トークンと更新トークンが画面に出力されます。

アクセス トークンを取得する

(LDAP)最初のアクセス トークンと更新トークンを生成するには、次の API 呼び出しを使用します。

curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" /
  -H "accept: application/json;charset=utf-8" /
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST /
  https://edge_sso_IP_DNS:9099/oauth/token -s /
  -d 'grant_type=password&response_type=token'

(SAML)最初のアクセス トークンと更新トークンを生成するには、次の API 呼び出しを使用します。

curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" /
  -H "accept: application/json;charset=utf-8" /
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST /
  https://edge_sso_IP_DNS:9099/oauth/token -s /
  -d 'grant_type=password&response_type=token&passcode=passcode'

SAML IDP による認証には一時的なパスコードが必要ですが、LDAP IDP では必要ありません。

アクセス トークンを更新する

後でアクセス トークンを更新するには、更新トークンを含む次の呼び出しを使用します。

curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" /
  -H "Accept: application/json;charset=utf-8" /
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST /
  https://edge_sso_IP_DNS:9099/oauth/token /
  -d 'grant_type=refresh_token&refresh_token=refreshToken'