หน้านี้ได้รับการแปลโดย Cloud Translation API

ทำให้งานสำหรับ IdP ภายนอกเป็นแบบอัตโนมัติ

เมื่อใช้ IDP ภายนอกกับ Edge API กระบวนการที่คุณใช้เพื่อรับการเข้าถึง OAuth2 และรีเฟรชโทเค็นจากการโต้ตอบของ IDP จะเรียกว่าขั้นตอนการใช้รหัสผ่าน ขั้นตอนรหัสผ่านคือการใช้เบราว์เซอร์เพื่อรับรหัสผ่านแบบใช้งานครั้งเดียวแล้วใช้รับโทเค็น OAuth2

อย่างไรก็ตาม สภาพแวดล้อมในการพัฒนาซอฟต์แวร์อาจรองรับการทำงานอัตโนมัติสำหรับงานการพัฒนาทั่วไป เช่น การทดสอบอัตโนมัติหรือ CI/CD หากต้องการให้งานเหล่านี้ทำงานโดยอัตโนมัติเมื่อเปิดใช้ IdP ภายนอก คุณต้องหาวิธีรับและรีเฟรชโทเค็น OAuth2 โดยไม่ต้องคัดลอก/วางรหัสผ่านจากเบราว์เซอร์

Edge รองรับการสร้างโทเค็นอัตโนมัติผ่านการใช้ผู้ใช้เครื่องภายในองค์กรที่เปิดใช้ IdP ผู้ใช้เครื่องสามารถรับโทเค็น OAuth2 ได้โดยไม่ต้องระบุรหัสผ่าน ซึ่งหมายความว่าคุณสามารถทำให้กระบวนการรับและรีเฟรชโทเค็น OAuth2 เป็นแบบอัตโนมัติได้โดยใช้ Edge Management API

การสร้างผู้ใช้เครื่องสำหรับองค์กรที่เปิดใช้ IDP มี 2 วิธีดังนี้

กำลังใช้ apigee-ssoadminapi.sh
การใช้ Management API

แต่ละวิธีจะอธิบายไว้ในหัวข้อถัดไป

คุณไม่สามารถสร้างผู้ใช้เครื่องสำหรับองค์กรที่ไม่ได้เปิดใช้ IdP ภายนอก

สร้างผู้ใช้เครื่องด้วย `apigee-ssoadminapi.sh`

ใช้ยูทิลิตี apigee-ssoadminapi.sh เพื่อสร้างผู้ใช้เครื่องภายในองค์กรที่เปิดใช้ IDP ดูข้อมูลเพิ่มเติมได้ที่การใช้ apigee-ssoadminapi.sh คุณจะสร้างผู้ใช้เครื่อง 1 รายสำหรับทั้งองค์กร หรือสร้างผู้ใช้เครื่องแยกสำหรับแต่ละองค์กรก็ได้

ระบบสร้างและจัดเก็บผู้ใช้เครื่องไว้ในพื้นที่เก็บข้อมูล Edge ไม่ใช่ใน IdP ดังนั้น คุณไม่ต้องรับผิดชอบในการดูแลรักษาผู้ใช้เครื่องโดยใช้ Edge UI และ API การจัดการ Edge

เมื่อสร้างผู้ใช้เครื่อง คุณต้องระบุอีเมลและรหัสผ่าน หลังจากสร้างผู้ใช้เครื่องแล้ว คุณสามารถมอบหมายผู้ใช้ให้กับองค์กรอย่างน้อย 1 แห่งได้

วิธีสร้างผู้ใช้เครื่องด้วย apigee-ssoadminapi.sh

ใช้คำสั่ง apigee-ssoadminapi.sh ต่อไปนี้เพื่อสร้างผู้ใช้เครื่อง
```
apigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME \
  --secret SSO_ADMIN_SECRET --host Edge_SSO_IP_or_DNS \
  -u machine_user_email -p machine_user_password
```
QUESTION/TBD: Does apigee-ssoadminapi.sh also take "ldap" as an argument?

โดยที่
- SSO_ADMIN_NAME คือชื่อผู้ใช้ของผู้ดูแลระบบที่พร็อพเพอร์ตี้ SSO_ADMIN_NAME กำหนดในไฟล์การกำหนดค่าที่ใช้กำหนดค่าโมดูล SSO ของ Apigee ค่าเริ่มต้นคือ ssoadmin
- SSO_ADMIN_SECRET คือรหัสผ่านของผู้ดูแลระบบตามที่พร็อพเพอร์ตี้ SSO_ADMIN_SECRET ระบุไว้ในไฟล์การกำหนดค่า
  ในตัวอย่างนี้ คุณละเว้นค่าสำหรับ --port และ --ssl ได้เนื่องจากโมดูล apigee-sso ใช้ค่าเริ่มต้น 9099 สำหรับ --port และ http สำหรับ --ssl หากการติดตั้งของคุณไม่ได้ใช้ค่าเริ่มต้นเหล่านี้ ให้ระบุค่าดังกล่าวตามความเหมาะสม
เข้าสู่ระบบ Edge UI แล้วเพิ่มอีเมลของผู้ใช้เครื่องไปยังองค์กร รวมถึงกำหนดบทบาทที่จำเป็นให้กับผู้ใช้เครื่อง ดูการเพิ่มผู้ใช้ทั่วโลกสำหรับข้อมูลเพิ่มเติม

สร้างผู้ใช้เครื่องด้วย Edge Management API

คุณสร้างผู้ใช้เครื่องได้โดยใช้ Edge Management API แทนการใช้ยูทิลิตี apigee-ssoadminapi.sh

วิธีสร้างผู้ใช้เครื่องด้วย API การจัดการ

ใช้คำสั่ง curl ต่อไปนี้เพื่อรับโทเค็นสำหรับผู้ใช้ ssoadmin ซึ่งเป็นชื่อผู้ใช้ของบัญชีผู้ดูแลระบบสำหรับ apigee-sso:
```
curl "http://Edge_SSO_IP_DNS:9099/oauth/token" -i -X POST \
  -H 'Accept: application/json' / -H 'Content-Type: application/x-www-form-urlencoded' \
  -d "response_type=token" -d "grant_type=client_credentials" \
  --data-urlencode "client_secret=SSO_ADMIN_SECRET" \
  --data-urlencode "client_id=ssoadmin"
```
โดย SSO_ADMIN_SECRET คือรหัสผ่านของผู้ดูแลระบบที่คุณตั้งค่าเมื่อติดตั้ง apigee-sso ตามที่ระบุโดยพร็อพเพอร์ตี้ SSO_ADMIN_SECRET ในไฟล์การกำหนดค่า

คำสั่งนี้จะแสดงโทเค็นที่คุณต้องใช้ในการเรียกครั้งถัดไป

ใช้คำสั่ง curl ต่อไปนี้เพื่อสร้างผู้ใช้เครื่อง แล้วส่งโทเค็นที่คุณได้รับในขั้นตอนก่อนหน้า

curl "http://edge_sso_IP_DNS:9099/Users" -i -X POST \
  -H "Accept: application/json" -H "Content-Type: application/json" \
  -d '{"userName" : "machine_user_email", "name" :
    {"formatted":"DevOps", "familyName" : "last_name", "givenName" :
    "first_name"}, "emails" : [ {"value" :
    "machine_user_email", "primary" : true } ], "active" : true,
    "verified" : true, "password" : "machine_user_password" }' \
  -H "Authorization: Bearer token"

คุณต้องใช้รหัสผ่านผู้ใช้ของเครื่องในขั้นตอนต่อๆ ไป

ลงชื่อเข้าสู่ระบบ Edge UI
เพิ่มอีเมลของผู้ใช้เครื่องไปยังองค์กร และมอบหมายบทบาทที่จำเป็นให้กับผู้ใช้เครื่อง ดูการเพิ่มผู้ใช้ทั่วโลกสำหรับข้อมูลเพิ่มเติม

รับและรีเฟรชโทเค็นผู้ใช้เครื่อง

ใช้ Edge API เพื่อรับและรีเฟรชโทเค็น OAuth2 โดยการส่งข้อมูลเข้าสู่ระบบของผู้ใช้เครื่องแทนการใช้รหัสผ่าน

หากต้องการรับโทเค็น OAuth2 สำหรับผู้ใช้เครื่อง ให้ทำดังนี้

ใช้การเรียก API ต่อไปนี้เพื่อสร้างโทเค็นการเข้าถึงเริ่มต้นและรีเฟรชโทเค็น:
```
curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \
  -H "accept: application/json;charset=utf-8" \
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \
  http://Edge_SSO_IP_DNS:9099/oauth/token -s \
  -d 'grant_type=password&username=m_user_email&password=m_user_password'
```
หมายเหตุ: สำหรับการให้สิทธิ์ ให้ส่งข้อมูลเข้าสู่ระบบไคลเอ็นต์ OAuth2 ที่สงวนไว้ Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0 ในส่วนหัว Authorization

เก็บโทเค็นไว้ใช้ในภายหลัง
ส่งโทเค็นเพื่อการเข้าถึงไปยังการเรียก Edge Management API เป็นส่วนหัว Bearer ตามตัวอย่างต่อไปนี้
```
curl -H "Authorization: Bearer access_token" \
  http://MS_IP_DNS:8080/v1/organizations/org_name
```
โดยที่ org_name คือชื่อขององค์กรที่มีผู้ใช้เครื่อง
หากต้องการรีเฟรชโทเค็นเพื่อการเข้าถึงในภายหลัง ให้ใช้การเรียกต่อไปนี้ที่มีโทเค็นการรีเฟรช
```
curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \
  -H "Accept: application/json;charset=utf-8" \
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \
  http://edge_sso_IP_DNS:9099/oauth/token \
  -d 'grant_type=refresh_token&refresh_token=refreshToken'
```
หมายเหตุ: สำหรับการให้สิทธิ์ ให้ส่งข้อมูลเข้าสู่ระบบไคลเอ็นต์ OAuth2 ที่สงวนไว้ Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0 ในส่วนหัว Authorization