외부 IDP를 사용하도록 포털 구성

Apigee Developer Services 포털 (또는 간단히 포털)은 Apigee Edge의 클라이언트 역할을 합니다. 즉, 포털이 독립형 시스템으로 작동하지 않습니다. 대신 포털에서 사용하는 정보의 대부분이 실제로 Edge에 저장됩니다. 필요한 경우 포털은 Edge에서 정보를 검색하거나 Edge로 정보를 전송하도록 요청합니다.

포털은 항상 단일 Edge 조직과 연결됩니다. 포털을 구성할 때 포털이 Edge와 통신하는 데 사용하는 조직 계정의 기본 인증 사용자 인증 정보 (사용자 이름 및 비밀번호)를 지정할 수 있습니다.

Edge 인증을 위해 SAML 또는 LDAP와 같은 외부 IDP를 사용 설정하면 Edge에 요청할 때 해당 인증을 사용하도록 포털을 구성할 수 있습니다. 외부 IDP를 사용하도록 포털을 구성하면 포털이 Edge에 요청하는 데 사용하는 새 머신 사용자 계정이 Edge 조직에 자동으로 생성됩니다. 머신 사용자에 대한 자세한 내용은 외부 IDP 작업 자동화를 참조하세요.

포털에 대한 외부 IDP 지원을 받으려면 에지 관리 서버 노드에 Apigee SSO 모듈을 이미 설치하고 구성해야 합니다. 포털에 외부 IDP를 사용 설정하는 일반적인 프로세스는 다음과 같습니다.

  1. 고가용성을 위해 Apigee SSO 설치에 설명된 대로 Apigee SSO 모듈을 설치합니다.
  2. 포털을 설치하고 제대로 작동하는지 확인합니다. 포털 설치를 참조하세요.
  3. 이 섹션에 설명된 대로 포털에서 SAML 또는 LDAP를 구성합니다.
  4. (선택사항) Edge에서 기본 인증 사용 중지에 설명된 대로 Edge에서 기본 인증을 사용 중지합니다.

포털의 머신 사용자 만들기

외부 IDP가 사용 설정되면 Edge는 머신 사용자를 통해 자동화된 OAuth2 토큰 생성을 지원합니다. 머신 사용자는 비밀번호를 지정하지 않고도 OAuth2 토큰을 가져올 수 있습니다. 즉, OAuth2 토큰을 가져오고 새로고침하는 프로세스를 완전히 자동화할 수 있습니다.

포털의 IDP 구성 프로세스는 포털과 연결된 조직에 머신 사용자를 자동으로 만듭니다. 그러면 포털에서 이 머신 사용자 계정을 사용하여 Edge에 연결합니다. 머신 사용자에 대한 자세한 내용은 외부 IDP 작업 자동화를 참조하세요.

포털 개발자 계정의 인증 정보

외부 IDP를 사용하도록 포털을 구성할 때 포털에서 SAML 또는 LDAP을 사용하여 Edge에 인증하도록 하여 포털이 Edge에 요청할 수 있도록 합니다. 하지만 포털은 개발자라고 하는 사용자 유형도 지원합니다.

개발자는 API를 사용하여 앱을 빌드하는 사용자 커뮤니티를 구성합니다. 앱 개발자는 이 포털을 사용하여 API에 대해 알아보고, API를 사용하는 앱을 등록하고, 개발자 커뮤니티와 상호작용하고, 대시보드에서 앱 사용에 대한 통계 정보를 확인할 수 있습니다.

개발자가 포털에 로그인하면 개발자 인증과 역할 기반 권한 적용을 담당하는 포털이 있습니다. 포털과 Edge 간에 IDP 인증을 사용 설정한 후에도 포털에서는 개발자를 통한 기본 인증을 계속 사용합니다. 자세한 내용은 포털과 Edge 간의 통신을 참조하세요.

SAML 또는 LDAP를 사용하여 개발자를 인증하도록 포털을 구성할 수도 있습니다. 서드 파티 Drupal 모듈을 사용하여 SAML을 사용 설정하는 예는 SAML을 통해 개발자 포털과 SSO 통합을 참고하세요.

포털의 IDP 구성 파일

포털에 외부 IDP를 구성하려면 포털의 설정을 정의하는 구성 파일을 만들어야 합니다.

다음 예는 IDP를 지원하는 포털 구성 파일을 보여줍니다.

# IP address of Edge Management Server and the node on which the Apigee SSO module is installed.
IP1=22.222.22.222

# URL of Edge management API.
MGMT_URL=http://$IP1:8080/v1

# Organization associated with the portal.
EDGE_ORG=myorg

# Information about the Apigee SSO module (apigee-sso).
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP1
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# Enables or disables external IDP support.
# Default is "n", which disables external IDP support.
# Change it to "y" to enable external IDs support.
DEVPORTAL_SSO_ENABLED=y

# The name of the OAuth2 client used to connect to apigee-sso.
# The default client name is portalcli.
PORTALCLI_SSO_CLIENT_NAME=portalcli
# OAuth client password using uppercase, lowercase, number, and special characters.
PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1

# Email address and user info for the machine user created in the Edge org specified
# above by EDGE_ORG.
# This account is used by the portal to make requests to Edge.
# Add this email as an org admin before configuring the portal to use an external IDP.
DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com
DEVPORTAL_ADMIN_FIRSTNAME=DevPortal
DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin
DEVPORTAL_ADMIN_PWD=Abcdefg@1

# If set, the existing portal OAuth client is deleted and a new one is created.
# The default value is "n".
# Set to "y" when you configure the external IDP and change the value of
# any of the PORTALCLI_* properties.
PORTALCLI_SSO_CLIENT_OVERWRITE=y

포털에서 외부 IDP 지원을 사용 설정하려면 다음 안내를 따르세요.

  1. Edge UI에서 DEVPORTAL_ADMIN_EMAIL로 지정된 머신 사용자를 포털과 연결된 조직에 조직 관리자로 추가합니다.
  2. 다음 명령어를 실행하여 포털에서 외부 IDP를 구성합니다.
    /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile

    여기서 configFile은 위에서 설명한 구성 파일입니다.

  3. 포털 관리자로 포털에 로그인합니다.
  4. 기본 Drupal 메뉴에서 Configuration > Dev Portal을 선택합니다. 외부 IDP 설정을 포함한 포털 구성 화면이 표시됩니다.

    다음에 유의하세요.

    • 이 조직은 SAML을 지원합니다 체크박스가 선택되어 있습니다.
    • Apigee SSO 모듈의 엔드포인트가 입력되었습니다.
    • 포털 OAuth 클라이언트의 API 키고객 비밀번호 필드가 입력되어 있습니다.
    • Test Connection 버튼 아래에 Connection SUCCESS 메시지가 표시됩니다.
  5. 연결 테스트 버튼을 클릭하여 언제든지 연결을 다시 테스트할 수 있습니다.

나중에 이러한 값을 변경하려면 구성 파일을 업데이트하고 이 절차를 다시 실행합니다.

포털에서 외부 IDP 사용 중지

포털과 Edge 간의 통신을 위해 외부 IDP를 사용 중지하면 포털에서 더 이상 Edge에 요청할 수 없습니다. 개발자는 포털에 로그인할 수 있지만 제품을 보거나 앱을 만들 수는 없습니다.

포털에서 외부 IDP 인증을 사용 중지하려면 다음 안내를 따르세요.

  1. 이전에 외부 IDP를 사용 설정하는 데 사용한 구성 파일을 엽니다.
  2. 다음 예에 표시된 것처럼 DEVPORTAL_SSO_ENABLED 속성의 값을 n로 설정합니다.
    DEVPORTAL_SSO_ENABLED=n
  3. 다음 명령어를 실행하여 포털을 구성합니다.
    /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile