Configurar o portal para usar IdPs externos

O portal de serviços para desenvolvedores da Apigee (ou simplesmente o portal) atua como um cliente do Apigee Edge. Isso significa que o portal não funciona como um sistema autônomo. Em vez disso, grande parte das informações usadas pelo portal é armazenada no Edge. Quando necessário, o portal faz uma solicitação para recuperar informações do Edge ou enviar informações para o Edge.

O portal está sempre associado a uma única organização de Edge. Ao configurar o portal, é possível especificar as credenciais básicas de autenticação (nome de usuário e senha) de uma conta na organização que o portal usa para se comunicar com o Edge.

Se você ativar um IDP externo, como SAML ou LDAP para a autenticação do Edge, poderá configurar o portal para usar essa autenticação ao fazer solicitações ao Edge. A configuração do portal para usar um IdP externo cria automaticamente uma nova conta de usuário da máquina na organização do Edge que o portal usará para fazer solicitações ao Edge. Para saber mais sobre usuários de máquina, consulte Automatizar tarefas para IdPs externos.

Para receber suporte do IdP externo no portal, é preciso ter instalado e configurado o módulo SSO da Apigee no nó do servidor de gerenciamento de borda. O processo geral para ativar um IdP externo no portal é o seguinte:

  1. Instale o módulo SSO da Apigee, conforme descrito em Instalar o SSO da Apigee para alta disponibilidade.
  2. Instale o portal e verifique se a instalação está funcionando corretamente. Consulte Instalar o portal.
  3. Configure o SAML ou o LDAP no portal, conforme descrito nesta seção.
  4. (Opcional) Desative a autenticação básica no Edge, conforme descrito em Desativar a autenticação básica no Edge.

Criar um usuário de máquina para o portal

Quando um IdP externo está ativado, o Edge oferece suporte à geração automatizada de tokens OAuth2 pelo uso de usuários de máquina. O usuário da máquina pode receber tokens OAuth2 sem precisar especificar uma senha. Isso significa que é possível automatizar completamente o processo de recebimento e atualização de tokens OAuth2.

O processo de configuração do IdP para o portal cria automaticamente um usuário de máquina na organização associada ao portal. Em seguida, o portal usa essa conta de usuário da máquina para se conectar ao Edge. Para saber mais sobre usuários de máquina, consulte Automatizar tarefas para IdPs externos.

Sobre a autenticação para contas de desenvolvedor do portal

Ao configurar o portal para usar um IdP externo, você permite que ele use SAML ou LDAP para autenticação no Edge e possa fazer solicitações ao Edge. No entanto, o portal também é compatível com um tipo de usuário chamado desenvolvedores.

Os desenvolvedores compõem a comunidade de usuários que criam apps usando as APIs. Os desenvolvedores usam o portal para saber mais sobre suas APIs, registrar os apps que usam as APIs, interagir com a comunidade de desenvolvedores e conferir informações estatísticas sobre o uso dos apps em um painel.

Quando um desenvolvedor faz login no portal, é ele que é responsável por autenticar o desenvolvedor e aplicar permissões com base em papéis. O portal continua usando a autenticação básica com os desenvolvedores mesmo depois que você ativa a autenticação do IdP entre o portal e o Edge. Para mais informações, consulte Como estabelecer comunicação entre o portal e o Edge.

Também é possível configurar o portal para usar SAML ou LDAP para autenticar desenvolvedores. Para conferir um exemplo de como ativar o SAML usando módulos Drupal de terceiros, consulte Integração SSO via SAML com o Portal do desenvolvedor.

Arquivo de configuração do IdP para o portal

Para configurar um IdP externo para o portal, crie um arquivo de configuração que defina as configurações do portal.

O exemplo a seguir mostra um arquivo de configuração do portal compatível com o IdP:

# IP address of Edge Management Server and the node on which the Apigee SSO module is installed.
IP1=22.222.22.222

# URL of Edge management API.
MGMT_URL=http://$IP1:8080/v1

# Organization associated with the portal.
EDGE_ORG=myorg

# Information about the Apigee SSO module (apigee-sso).
# Externally accessible IP or DNS of apigee-sso.
SSO_PUBLIC_URL_HOSTNAME=$IP1
SSO_PUBLIC_URL_PORT=9099
# Default is http. Set to https if you enabled TLS on apigee-sso.
SSO_PUBLIC_URL_SCHEME=http

# SSO admin credentials as set when you installed apigee-sso.
SSO_ADMIN_NAME=ssoadmin
SSO_ADMIN_SECRET=Secret123

# Enables or disables external IDP support.
# Default is "n", which disables external IDP support.
# Change it to "y" to enable external IDs support.
DEVPORTAL_SSO_ENABLED=y

# The name of the OAuth2 client used to connect to apigee-sso.
# The default client name is portalcli.
PORTALCLI_SSO_CLIENT_NAME=portalcli
# OAuth client password using uppercase, lowercase, number, and special characters.
PORTALCLI_SSO_CLIENT_SECRET=Abcdefg@1

# Email address and user info for the machine user created in the Edge org specified
# above by EDGE_ORG.
# This account is used by the portal to make requests to Edge.
# Add this email as an org admin before configuring the portal to use an external IDP.
DEVPORTAL_ADMIN_EMAIL=DevPortal_SAML@google.com
DEVPORTAL_ADMIN_FIRSTNAME=DevPortal
DEVPORTAL_ADMIN_LASTNAME=SAMLAdmin
DEVPORTAL_ADMIN_PWD=Abcdefg@1

# If set, the existing portal OAuth client is deleted and a new one is created.
# The default value is "n".
# Set to "y" when you configure the external IDP and change the value of
# any of the PORTALCLI_* properties.
PORTALCLI_SSO_CLIENT_OVERWRITE=y

Para ativar o suporte ao IdP externo no portal:

  1. Na interface do Edge, adicione o usuário da máquina especificado por DEVPORTAL_ADMIN_EMAIL à organização associada ao portal como um Administrador da organização.
  2. Execute o seguinte comando para configurar o IdP externo no portal:
    /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile

    em que configFile é o arquivo de configuração descrito acima.

  3. Faça login no portal como administrador.
  4. No menu principal do Drupal, selecione Configuration > Dev Portal. A tela de configuração do portal será exibida, incluindo as configurações do IdP externo:

    Observe o seguinte:

    • A caixa Esta organização é compatível com SAML está marcada.
    • O endpoint do módulo SSO da Apigee está preenchido
    • Os campos Chave de API e Chave secreta do cliente do cliente OAuth do portal estão preenchidos.
    • A mensagem Conexão bem-sucedida aparece no botão Testar conexão.
  5. Clique no botão Testar conexão para testar a conexão novamente a qualquer momento.

Para alterar esses valores mais tarde, atualize o arquivo de configuração e execute este procedimento novamente.

Desativar um IdP externo no portal

Se você desativar o IdP externo para comunicações entre o portal e o Edge, o portal não poderá mais fazer solicitações para o Edge. Os desenvolvedores conseguem fazer login no portal, mas não conseguem ver produtos ou criar apps.

Para desativar a autenticação do IdP externo no portal:

  1. Abra o arquivo de configuração usado anteriormente para ativar o IdP externo.
  2. Defina o valor da propriedade DEVPORTAL_SSO_ENABLED como n, conforme o exemplo a seguir mostra:
    DEVPORTAL_SSO_ENABLED=n
  3. Execute o seguinte comando para configurar o portal:
    /opt/apigee/apigee-service/bin/apigee-service apigee-drupal-devportal configure-sso -f configFile