Quando utilizzi un IDP esterno con l'API Edge, la procedura utilizzata per ottenere OAuth2 i token di accesso e di aggiornamento dell'interazione IdP è chiamato flusso del passcode. Con tramite il flusso di passcode, puoi utilizzare un browser per ottenere un passcode monouso da utilizzare per ottenere OAuth2. di token.
Tuttavia, il tuo ambiente di sviluppo potrebbe supportare l'automazione per attività di sviluppo comuni, come l'automazione dei test o CI/CD. Per automatizzare queste attività quando è abilitato un IdP esterno, occorre un modo per ottenere e aggiornare i token OAuth2 senza dover copiare/incollare un passcode da un del browser.
Edge supporta la generazione automatica di token tramite l'uso di utenti di macchine all'interno delle organizzazioni con un IdP abilitato. Un utente della macchina può ottenere i token OAuth2 senza dover specificare un passcode. Ciò significa che puoi automatizzare completamente il processo per ottenere e aggiornare i token OAuth2 utilizzando l'API Edge Management.
Esistono due modi per creare un utente di macchina per un'organizzazione con IdP:
Nelle sezioni che seguono vengono descritti tutti questi metodi.
Non puoi creare un utente di macchina per le organizzazioni per le quali non è abilitato un IdP esterno.
Crea un utente della macchina con apigee-ssoadminapi.sh
Usa apigee-ssoadminapi.sh
per creare un utente della macchina all'interno di un'organizzazione abilitata per IdP. Consulta la sezione Informazioni sull'uso
apigee-ssoadminapi.sh per saperne di più. Puoi creare un singolo utente della macchina utilizzato da tutti
delle tue organizzazioni o creare un utente di macchina separato per ogni organizzazione.
L'utente della macchina viene creato e archiviato nel datastore Edge, non nel tuo IdP. Pertanto, non sono responsabili della manutenzione dell'utente della macchina tramite la UI e la gestione perimetrale tramite Google Cloud CLI o tramite l'API Compute Engine.
Quando crei l'utente della macchina, devi specificare un indirizzo email e una password. Dopo il giorno creando l'utente della macchina, lo assegni a una o più organizzazioni.
Per creare un utente della macchina con apigee-ssoadminapi.sh
:
- Usa questo comando
apigee-ssoadminapi.sh
per creare l'utente della macchina:apigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME \ --secret SSO_ADMIN_SECRET --host Edge_SSO_IP_or_DNS \ -u machine_user_email -p machine_user_password
QUESTION/TBD: Does apigee-ssoadminapi.sh also take "ldap" as an argument?
Dove:
- SSO_ADMIN_NAME è il nome utente dell'amministratore definito
SSO_ADMIN_NAME
nel file di configurazione utilizzato per configurare la Modulo SSO di Apigee. Il valore predefinito èssoadmin
. - SSO_ADMIN_SECRET è la password dell'amministratore specificata dal
SSO_ADMIN_SECRET
nel file di configurazione.In questo esempio, puoi omettere i valori per
--port
e--ssl
perché il moduloapigee-sso
utilizza il valore predefinito valori di 9099 per--port
e http per--ssl
. Se le tue durante l'installazione non utilizzano queste impostazioni predefinite, specificale in base alle esigenze.
- SSO_ADMIN_NAME è il nome utente dell'amministratore definito
- Accedi alla UI Edge e aggiungi l'email dell'utente della macchina alle tue organizzazioni, quindi assegna all'utente della macchina il ruolo necessario. Consulta Aggiunta di utenti globali per altro ancora.
Crea un utente della macchina con Edge API di gestione
Puoi creare un utente della macchina utilizzando l'API Edge Management anziché utilizzare
Utilità apigee-ssoadminapi.sh
.
Per creare un utente della macchina con l'API di gestione:
- Usa il seguente comando
curl
per ottenere un token per l'utentessoadmin
, nome utente dell'account amministratore perapigee-sso
:curl "http://Edge_SSO_IP_DNS:9099/oauth/token" -i -X POST \ -H 'Accept: application/json' / -H 'Content-Type: application/x-www-form-urlencoded' \ -d "response_type=token" -d "grant_type=client_credentials" \ --data-urlencode "client_secret=SSO_ADMIN_SECRET" \ --data-urlencode "client_id=ssoadmin"
Dove SSO_ADMIN_SECRET è la password amministratore che hai impostato durante l'installazione
apigee-sso
come specificato dalla proprietàSSO_ADMIN_SECRET
in di configurazione del deployment.Questo comando visualizza un token necessario per effettuare la chiamata successiva.
- Utilizza il seguente comando
curl
per creare l'utente della macchina, trasmettendo il token ricevute nel passaggio precedente:curl "http://edge_sso_IP_DNS:9099/Users" -i -X POST \ -H "Accept: application/json" -H "Content-Type: application/json" \ -d '{"userName" : "machine_user_email", "name" : {"formatted":"DevOps", "familyName" : "last_name", "givenName" : "first_name"}, "emails" : [ {"value" : "machine_user_email", "primary" : true } ], "active" : true, "verified" : true, "password" : "machine_user_password" }' \ -H "Authorization: Bearer token"
Dovrai utilizzare la password dell'utente della macchina nei passaggi successivi.
- Accedi alla UI di Edge.
- Aggiungi l'email dell'utente del computer alle tue organizzazioni e assegna l'utente del computer al ruolo necessario. Consulta la sezione Aggiungere utenti di tutto il mondo.
Ottenere e aggiornare i token utente della macchina
Utilizza l'API Edge per ottenere e aggiornare i token OAuth2 trasmettendo il parametro delle credenziali, anziché un passcode.
Per ottenere i token OAuth2 per l'utente della macchina:
- Utilizza la seguente chiamata API per generare i token di accesso e di aggiornamento iniziali:
curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \ -H "accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://Edge_SSO_IP_DNS:9099/oauth/token -s \ -d 'grant_type=password&username=m_user_email&password=m_user_password'
Salva i token per utilizzarli in un secondo momento.
- Passa il token di accesso a una chiamata API di gestione Edge come intestazione
Bearer
, ad esempio l'esempio seguente mostra:curl -H "Authorization: Bearer access_token" \ http://MS_IP_DNS:8080/v1/organizations/org_name
Dove org_name è il nome dell'organizzazione contenente l'utente della macchina.
- Per aggiornare in un secondo momento il token di accesso, utilizza la seguente chiamata che include il token di aggiornamento:
curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \ -H "Accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://edge_sso_IP_DNS:9099/oauth/token \ -d 'grant_type=refresh_token&refresh_token=refreshToken'