Edge API で外部 IDP を使用する場合、この IDP 操作から OAuth2 アクセス トークンと更新トークンを取得するプロセスをパスコード フローと呼びます。パスコード フローでは、ブラウザを使用してワンタイム パスコードを取得し、そのパスコードを使用して OAuth2 トークンを取得します。
ただし、開発環境では、テストの自動化や CI/CD などの一般的な開発タスクの自動化がサポートされている場合があります。外部 IDP が有効な場合にこれらのタスクを自動化するには、ブラウザからパスコードをコピーして貼り付けることなく、OAuth2 トークンを取得して更新できる方法が必要です。
Edge では、IDP が有効になっている組織内のマシンユーザーを使用したトークンの自動生成がサポートされています。マシンユーザーは、パスコードを指定しなくても OAuth2 トークンを取得できます。つまり、Edge Management API を使用すると、OAuth2 トークンの取得と更新のプロセスを完全に自動化できます。
IDP 対応組織のマシンユーザーを作成するには、次の 2 つの方法があります。
以降のセクションで、これらの方法について説明します。
外部 IDP を有効にしていない組織には、マシンユーザーを作成できません。
apigee-ssoadminapi.sh を使用してマシンユーザーを作成する
apigee-ssoadminapi.sh ユーティリティを使用して、IDP が有効な組織内にマシンユーザーを作成します。詳細については、apigee-ssoadminapi.sh の使用をご覧ください。すべての組織で使用されるマシンユーザーを 1 つだけ作成することも、組織ごとに個別のマシンユーザーを作成することもできます。
マシンユーザーは IDP ではなく Edge データストアで作成され、保存されます。したがって、Edge UI と Edge Management API を使用してマシンユーザーを維持する責任はありません。
マシンユーザーを作成するときに、メールアドレスとパスワードを指定する必要があります。マシンユーザーを作成したら、それを 1 つ以上の組織に割り当てます。
apigee-ssoadminapi.sh でマシンユーザーを作成するには:
- 次の
apigee-ssoadminapi.shコマンドを使用してマシンユーザーを作成します。apigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME \ --secret SSO_ADMIN_SECRET --host Edge_SSO_IP_or_DNS \ -u machine_user_email -p machine_user_password
QUESTION/TBD: Does apigee-ssoadminapi.sh also take "ldap" as an argument?
ここで
- SSO_ADMIN_NAME は、Apigee SSO モジュールの構成に使用する構成ファイル内の
SSO_ADMIN_NAMEプロパティで定義された管理者ユーザー名です。デフォルトはssoadminです。 - SSO_ADMIN_SECRET は、構成ファイルの
SSO_ADMIN_SECRETプロパティで指定されている管理者パスワードです。この例では、
apigee-ssoモジュールは--portにデフォルト値の 9099、--sslに http を使用するため、--portと--sslの値を省略できます。インストールでこれらのデフォルト値が使用されていない場合は、必要に応じて指定します。
- SSO_ADMIN_NAME は、Apigee SSO モジュールの構成に使用する構成ファイル内の
- Edge UI にログインし、マシンユーザーのメールアドレスを組織に追加し、マシンユーザーに必要なロールを割り当てます。詳細については、グローバル ユーザーの追加をご覧ください。
Edge Management API を使用してマシンユーザーを作成する
apigee-ssoadminapi.sh ユーティリティを使用する代わりに、Edge Management API を使用してマシンユーザーを作成できます。
管理 API でマシンユーザーを作成するには:
- 次の
curlコマンドを使用して、ssoadminユーザーのトークンを取得します。これは、apigee-ssoの管理者アカウントのユーザー名です。curl "http://Edge_SSO_IP_DNS:9099/oauth/token" -i -X POST \ -H 'Accept: application/json' / -H 'Content-Type: application/x-www-form-urlencoded' \ -d "response_type=token" -d "grant_type=client_credentials" \ --data-urlencode "client_secret=SSO_ADMIN_SECRET" \ --data-urlencode "client_id=ssoadmin"
ここで、SSO_ADMIN_SECRET は、構成ファイルの
SSO_ADMIN_SECRETプロパティで指定されているように、apigee-ssoをインストールしたときに設定した管理者パスワードです。このコマンドは、次の呼び出しに必要なトークンを表示します。
- 次の
curlコマンドを使用してマシンユーザーを作成します。その際、前の手順で受け取ったトークンを渡します。curl "http://edge_sso_IP_DNS:9099/Users" -i -X POST \ -H "Accept: application/json" -H "Content-Type: application/json" \ -d '{"userName" : "machine_user_email", "name" : {"formatted":"DevOps", "familyName" : "last_name", "givenName" : "first_name"}, "emails" : [ {"value" : "machine_user_email", "primary" : true } ], "active" : true, "verified" : true, "password" : "machine_user_password" }' \ -H "Authorization: Bearer token"マシンユーザーのパスワードは、後の手順で必要になります。
- Edge UI にログインします。
- マシンユーザーのメールアドレスを組織に追加し、マシンユーザーに必要なロールを割り当てます。詳細については、グローバル ユーザーの追加をご覧ください。
マシンユーザー トークンの取得と更新
Edge API を使用して、マシンユーザーの認証情報をパスコードの代わりに渡して OAuth2 トークンを取得、更新します。
マシンユーザーの OAuth2 トークンを取得するには:
- 次の API 呼び出しを使用して、最初のアクセス トークンと更新トークンを生成します。
curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \ -H "accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://Edge_SSO_IP_DNS:9099/oauth/token -s \ -d 'grant_type=password&username=m_user_email&password=m_user_password'
後で使用するためにトークンを保存します。
- 次の例のように、アクセス トークンを
Bearerヘッダーとして Edge Management API 呼び出しに渡します。curl -H "Authorization: Bearer access_token" \ http://MS_IP_DNS:8080/v1/organizations/org_name
ここで、org_name はマシンユーザーを含む組織の名前です。
- 後でアクセス トークンを更新するには、更新トークンを含む次の呼び出しを使用します。
curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \ -H "Accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://edge_sso_IP_DNS:9099/oauth/token \ -d 'grant_type=refresh_token&refresh_token=refreshToken'