Se usó la API de Cloud Translation para traducir esta página.

Automatiza tareas para IdP externos

Cuando usas un IdP externo con la API de Edge, el proceso que utilizas para obtener tokens de acceso y actualización de OAuth2 de la interacción del IdP se denomina flujo de contraseña. Con el flujo de contraseña, debes usar un navegador para obtener una contraseña de un solo uso que, luego, debes usar a fin de obtener tokens de OAuth2.

Sin embargo, el entorno de desarrollo podría admitir la automatización para tareas de desarrollo comunes, como la automatización de pruebas o la IC/EC. Para automatizar estas tareas cuando se habilita un IdP externo, necesitas una forma de obtener y actualizar tokens de OAuth2 sin tener que copiar y pegar una contraseña desde un navegador.

Edge admite la generación automática de tokens mediante el uso de usuarios de máquinas dentro de organizaciones que tienen un IdP habilitado. Un usuario de máquina puede obtener tokens de OAuth2 sin tener que especificar una contraseña. Eso significa que puedes automatizar completamente el proceso de obtención y actualización de tokens de OAuth2 mediante la API de Edge Management.

Existen dos maneras de crear un usuario de máquina para una organización habilitada para IdP:

Usar apigee-ssoadminapi.sh
Usa la API de Management

Cada uno de estos métodos se describe en las siguientes secciones.

No puedes crear un usuario de máquina para organizaciones que no tienen un IdP externo habilitado.

Crear un usuario de máquina con `apigee-ssoadminapi.sh`

Usa la utilidad apigee-ssoadminapi.sh para crear un usuario de máquina dentro de una organización habilitada para el IdP. Consulta Usa apigee-ssoadminapi.sh para obtener más información. Puedes crear un solo usuario de máquina que utilicen todas tus organizaciones o crear un usuario de máquina separado para cada organización.

El usuario de la máquina se crea y se almacena en el almacén de datos de Edge, no en el IdP. Por lo tanto, no eres responsable de mantener el usuario de máquina mediante la IU de Edge y la API de Edge Management.

Cuando creas el usuario de la máquina, debes especificar una dirección de correo electrónico y una contraseña. Después de crear el usuario de máquina, debes asignarlo a una o más organizaciones.

Para crear un usuario de máquina con apigee-ssoadminapi.sh, haz lo siguiente:

Usa el siguiente comando de apigee-ssoadminapi.sh para crear el usuario de la máquina:
```
apigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME \
  --secret SSO_ADMIN_SECRET --host Edge_SSO_IP_or_DNS \
  -u machine_user_email -p machine_user_password
```
QUESTION/TBD: Does apigee-ssoadminapi.sh also take "ldap" as an argument?

Donde:
- SSO_ADMIN_NAME es el nombre de usuario de administrador que define la propiedad SSO_ADMIN_NAME en el archivo de configuración que se usa para configurar el módulo de SSO de Apigee. El valor predeterminado es ssoadmin.
- SSO_ADMIN_SECRET es la contraseña de administrador que especifica la propiedad SSO_ADMIN_SECRET en el archivo de configuración.
  En este ejemplo, puedes omitir los valores de --port y --ssl porque el módulo apigee-sso usa los valores predeterminados de 9099 para --port y http para --ssl. Si tu instalación no usa estos valores predeterminados, especifícalos según corresponda.
Accede a la IU de Edge, agrega el correo electrónico del usuario de la máquina a tus organizaciones y asígnale el rol necesario. Consulta Agrega usuarios globales para obtener más información.

Crea un usuario de máquina con la API de Edge Management

Puedes crear un usuario de máquina mediante la API de Edge Management en lugar de la utilidad apigee-ssoadminapi.sh.

Para crear un usuario de máquina con la API de Management, haz lo siguiente:

Usa el siguiente comando de curl a fin de obtener un token para el usuario ssoadmin, el nombre de usuario de la cuenta de administrador de apigee-sso:
```
curl "http://Edge_SSO_IP_DNS:9099/oauth/token" -i -X POST \
  -H 'Accept: application/json' / -H 'Content-Type: application/x-www-form-urlencoded' \
  -d "response_type=token" -d "grant_type=client_credentials" \
  --data-urlencode "client_secret=SSO_ADMIN_SECRET" \
  --data-urlencode "client_id=ssoadmin"
```
Donde SSO_ADMIN_SECRET es la contraseña de administrador que configuraste cuando instalaste apigee-sso, como lo especifica la propiedad SSO_ADMIN_SECRET en el archivo de configuración.

Este comando muestra un token que necesitas para realizar la próxima llamada.

Usa el siguiente comando de curl para crear el usuario de la máquina y pasa el token que recibiste en el paso anterior:

curl "http://edge_sso_IP_DNS:9099/Users" -i -X POST \
  -H "Accept: application/json" -H "Content-Type: application/json" \
  -d '{"userName" : "machine_user_email", "name" :
    {"formatted":"DevOps", "familyName" : "last_name", "givenName" :
    "first_name"}, "emails" : [ {"value" :
    "machine_user_email", "primary" : true } ], "active" : true,
    "verified" : true, "password" : "machine_user_password" }' \
  -H "Authorization: Bearer token"

Necesitarás la contraseña de usuario de la máquina en los pasos posteriores.

Accede a la IU de Edge.
Agrega el correo electrónico del usuario de la máquina a tus organizaciones y asígnale el rol necesario. Consulta Agrega usuarios globales para obtener más información.

Obtén y actualiza tokens de usuario de máquina

Usa la API de Edge a fin de obtener y actualizar tokens de OAuth2. Para ello, pasa las credenciales del usuario de la máquina, en lugar de una contraseña.

A fin de obtener tokens de OAuth2 para el usuario de la máquina, haz lo siguiente:

Usa la siguiente llamada a la API para generar el acceso inicial y los tokens de actualización:

curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \
  -H "accept: application/json;charset=utf-8" \
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \
  http://Edge_SSO_IP_DNS:9099/oauth/token -s \
  -d 'grant_type=password&username=m_user_email&password=m_user_password'

NOTA: Para la autorización, pasa la credencial de cliente de OAuth2 reservada, Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0, en el encabezado Authorization.

Guarda los tokens para usarlos en otro momento.

Pasa el token de acceso a una llamada a la API de Edge Management como el encabezado Bearer, como se muestra en el siguiente ejemplo:
```
curl -H "Authorization: Bearer access_token" \
  http://MS_IP_DNS:8080/v1/organizations/org_name
```
Donde org_name es el nombre de la organización que contiene el usuario de la máquina.

Para actualizar el token de acceso más tarde, usa la siguiente llamada que incluye el token de actualización:

curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \
  -H "Accept: application/json;charset=utf-8" \
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \
  http://edge_sso_IP_DNS:9099/oauth/token \
  -d 'grant_type=refresh_token&refresh_token=refreshToken'