Usar um IdP externo com a API Edge Management

A autenticação básica é uma maneira de fazer autenticação ao fazer chamadas para a API de gerenciamento do Edge. Por exemplo, é possível fazer a seguinte solicitação curl para a API Edge Management acessar informações sobre sua organização:

curl -u USER_NAME:PASSWORD https://MS_IP_DNS:8080/v1/organizations/ORG_NAME

Neste exemplo, você usa a opção curl -u para transmitir credenciais de autenticação básica. Como alternativa, você pode transmitir um token OAuth2 no cabeçalho Bearer para garantir Chamadas da API Edge Management, como mostra o exemplo a seguir:

curl -H "Authorization: Bearer ACCESS_TOKEN" https://MS_IP_DNS:8080/v1/organizations/ORG_NAME

Depois de ativar um IdP externo para autenticação, você pode desativar a versão Basic autenticação. Se você desativar o Basic todos os scripts, como Maven, shell e apigeetool, que dependem das chamadas da API Edge Management com suporte à autenticação básica não funcionam mais. É necessário atualizar todas as chamadas de API e scripts que usam a autenticação básica para transmitir tokens de acesso do OAuth2 no cabeçalho Bearer.

Receber e atualizar tokens com get_token

O utilitário get_token troca suas credenciais de autenticação básica e, em alguns casos, um senha) para um token de acesso e atualização do OAuth2. O utilitário get_token aceita suas credenciais e retorna um token de acesso válido. Se um token puder ser atualizado, o utilitário vai atualizar e retornar o token. Se o token de atualização expirar, as credenciais do usuário serão solicitadas.

O utilitário get_token armazena os tokens no disco, prontos para uso quando necessário. Ela também imprime um token de acesso válido para stdout. Em seguida, use uma extensão do navegador, como o Postman, ou incorpore-o a uma variável de ambiente para uso em curl.

Para receber um token de acesso OAuth2 e fazer chamadas da API Edge Management:

  1. Faça o download do pacote sso-cli:
    curl http://EDGE_SSO_IP_DNS:9099/resources/scripts/sso-cli/ssocli-bundle.zip -o "ssocli-bundle.zip"

    Em que EDGE_SSO_IP_DNS é o endereço IP ou nome DNS da máquina que hospeda o Módulo SSO da Apigee. Se você configurou o TLS no SSO da Apigee, use https e a Número da porta TLS.

  2. Descompacte o pacote ssocli-bundle.zip, conforme o exemplo a seguir:
    unzip ssocli-bundle.zip
  3. Instale get_token em /usr/local/bin, conforme o exemplo abaixo:
    ./install -b PATH

    A opção -b especifica um local diferente.

  4. Defina a variável de ambiente SSO_LOGIN_URL como seu URL de login da seguinte forma formulário:
    export SSO_LOGIN_URL="http://EDGE_SSO_IP_DNS:9099"

    Em que EDGE_SSO_IP_DNS é o endereço IP da máquina que hospeda o SSO da Apigee mais tarde neste módulo. Se você configurou o TLS no SSO da Apigee, use https e a porta TLS correta número

  5. (Somente SAML) Em um navegador, acesse o seguinte URL para conseguir uma senha:
    http://EDGE_SSO_IP_DNS:9099/passcode

    Se você configurou o TLS no SSO da Apigee, use https e a porta TLS correta número

    Essa solicitação retorna uma senha única que permanece válida até que você atualize o URL para gere uma nova senha ou use a senha com get_token para gerar uma token de acesso.

    Só é possível usar uma senha ao autenticar com um IdP SAML. Não é possível usar uma senha para autenticar com um IdP LDAP.

  6. Invoque get_token para receber o token de acesso do OAuth2, conforme o exemplo a seguir:
    get_token -u EMAIL_ADDRESS

    Em que EMAIL_ADDRESS é o endereço de e-mail de um usuário do Edge.

    (Apenas SAML) Digite a senha na linha de comando além do e-mail , como mostra o exemplo a seguir:

    get_token -u EMAIL_ADDRESS -p PASSCODE

    O utilitário get_token recebe o token de acesso do OAuth2 e o imprime na e grava isso e o token de atualização em ~/.sso-cli.

  7. Transmita o token de acesso para uma chamada da API Edge Management como o cabeçalho Bearer. como mostra o exemplo a seguir:
    curl -H "Authorization: Bearer ACCESS_TOKEN"
      https://MS_IP:8080/v1/organizations/ORG_NAME
  8. Depois de receber um novo token de acesso pela primeira vez, você pode receber o token de acesso e transmiti-lo para uma chamada de API com um único comando, como mostra o exemplo a seguir:
    header=`get_token` && curl -H "Authorization: Bearer $header"
      https://MS_IP:8080/v1/o/ORG_NAME

    Com essa forma de comando, se o token de acesso tiver expirado, ele será automaticamente será atualizado até que o token expire.

(Somente SAML) Depois que o token de atualização expirar, o get_token vai solicitar uma nova senha. Você precisa navegar até o URL mostrado acima na etapa 3 e gerar uma nova senha antes de gerar um novo token de acesso OAuth.

Use a API de gerenciamento para receber e atualizar tokens

Usar OAuth2 segurança com a API de gerenciamento do Apigee Edge mostra como usar o API Edge Management para receber e atualizar tokens. Também é possível usar chamadas da API Edge para receber tokens geradas a partir de declarações SAML.

A única diferença entre as chamadas de API documentadas no Como usar o OAuth2 com a API de gerenciamento do Apigee Edge é que o URL da chamada precisa referenciar seu nome da zona. Além disso, para gerar o token de acesso inicial com um IdP SAML, é necessário incluir a senha, conforme mostrado na etapa 3 do procedimento acima.

Para autorização, transmita uma credencial de cliente OAuth2 reservada no cabeçalho Authorization. A chamada exibe os tokens de acesso e atualização na tela.

Receber um token de acesso

(LDAP) Use a seguinte chamada de API para gerar o acesso inicial e atualizar tokens:

curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \
  -H "accept: application/json;charset=utf-8" \
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \
  http://EDGE_SSO_IP_DNS:9099/oauth/token -s \
  -d 'grant_type=password&username=USER_EMAIL&password=USER_PASSWORD'

(SAML) Use a seguinte chamada de API para gerar o acesso inicial e atualizar. tokens:

curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \
  -H "accept: application/json;charset=utf-8" \
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \
  https://EDGE_SSO_IP_DNS:9099/oauth/token -s \
  -d 'grant_type=password&response_type=token&passcode=PASSCODE'

Observe que a autenticação com um IdP SAML exige uma senha temporária, enquanto um IdP LDAP não.

Atualizar um token de acesso

Para atualizar o token de acesso mais tarde, use a seguinte chamada que o inclui:

curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \
  -H "Accept: application/json;charset=utf-8" \
  -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \
  https://EDGE_SSO_IP_DNS:9099/oauth/token \
  -d 'grant_type=refresh_token&refresh_token=REFRESH_TOKEN'