SAML 有効化後の Edge 管理ユーティリティと API の使用

このセクションでは、SAML を有効にした後、Edge システム管理ツールとコマンドを実行する方法について説明します。Edge の多くのタスクでは、次のようなシステム管理認証情報が必要です。

  • 組織と環境の作成
  • Edge コンポーネントの追加と削除
  • apigee-adminapi.sh コマンドの実行

ただし、Edge で SAML を有効にした後は、通常は Basic 認証を無効にして、SAML IDP を介した認証しか行えません。したがって、SAML IDP にシステム管理者アカウントを追加する必要があります。

システム管理者として Edge Management API を呼び出す

多くの Edge API 呼び出しでは、システム管理者の認証情報を渡す必要があります。Edge Management API 呼び出しを行う際にトークンを取得および更新する方法については、Edge Management API での SAML の使用をご覧ください。

SAML 認証で apigee-adminapi.sh ユーティリティを使用する

apigee-adminapi.sh ユーティリティを使用して、Edge Management API を呼び出して実行する場合と同じ Edge 構成タスクを実行します。apigee-adminapi.sh ユーティリティには次のような利点があります。

  • シンプルなコマンドライン インターフェースを使用する
  • タブベースのコマンド補完を実装
  • ヘルプと使用状況に関する情報を提供します
  • API を試す場合は、対応する API 呼び出しを表示できます

詳細については、apigee-ssoadminapi.sh の使用をご覧ください。

SAML 認証を有効にした後、システム管理者の認証情報を apigee-adminapi.sh ユーティリティに渡す方法はいくつかあります。

SAML コマンドを指定するオプションなど、apigee-adminapi.sh コマンドのすべてのオプションを表示するには、コマンドに -h オプションを使用します。次に例を示します。

apigee-adminapi.sh orgs list -h

たとえば、システム管理者の認証情報を渡すことができます。

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \
  --admin adminEmail --oauth-password adminPword

ここで

  • sso-url オプションは、Apigee SSO モジュールの URL を指定します。ポートまたはプロトコルを 9099 と HTTP から変更している場合は、ポートまたはプロトコルを変更します。
  • oauth-flow には、passcode または password_grant を指定します。この例では、password_grant を指定します。
  • adminEmail は、システム管理者のメールアドレスです。
  • oauth-password では、システム管理者のパスワードを指定します。

または、コマンドを呼び出すときにパスコードを使用することもできます。

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-passcode passcode

ここで

  • oauth-flow には、passcode を指定します。
  • oauth-passcode には、http://edge_sso_IP_DNS:9099/passcode. から取得したパスコードを指定します。

最後に、コマンドを呼び出すときにトークンを使用します。

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-token token

ここで

  • oauth-flow には、最初にトークンを取得した方法に応じて、passcode または password_grant のいずれかを指定します。この例では、最初に get_token を使用してトークンを取得したので、passcode を指定します。Edge Management API での SAML の使用をご覧ください。
  • oauh_token にはトークンが含まれます。

SAML 認証で Edge ユーティリティを使用する

多くの Edge ユーティリティでは、次のようなシステム管理者の認証情報が必要となります。

  • apigee-provision を使用して、組織、環境、仮想ホストを作成します。
  • setup.sh を使用して、既存のシステムにノードを追加します
  • 構成ファイルにシステム管理者の認証情報を指定する必要があるその他のユーティリティ

このユーティリティでは、構成ファイルを使用してシステム管理者の認証情報を指定する構成ファイルを入力として使用します。

ADMIN_EMAIL="adminEmail"
APIGEE_ADMINPW=adminPWord

パスワードを省略すると、パスワードの入力を求められます。

SAML を有効にしたら、さまざまなプロパティでシステム管理者の認証情報を指定します。たとえば、システム管理者の認証情報を渡すことができます。

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=password_grant
OAUTH_ADMIN_PASSWORD=adminPWord

ここで

  • SSO_LOGIN_URL には、Apigee SSO モジュールの URL を指定します。ポートまたはプロトコルを 9099 と HTTP から変更している場合は、ポートまたはプロトコルを変更します。
  • OAUTH_FLOW には、passcode または password_grant を指定します。この例では、システム管理者のパスワードを渡すため、password_grant を指定します。
  • OAUTH_ADMIN_PASSWORD では、システム管理者のパスワードを指定します。

または、次のプロパティを使用して、パスコード フローの一環として認証情報を指定できます。

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_ADMIN_PASSCODE=passcode

ここで

  • OAUTH_FLOW には、passcode を指定します。
  • OAUTH_ADMIN_PASSCODE には、http://edge_sso_IP_DNS:9099/passcode. から取得したパスコードを指定します。

最後に、トークンを使用します

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_BEARER_TOKEN=token

ここで

  • OAUTH_FLOW には、最初にトークンを取得した方法に応じて、passcode または password_grant のいずれかを指定します。この例では、最初に get_token を使用してトークンを取得したので、passcode を指定します。Edge Management API での SAML の使用をご覧ください。
  • OAUTH_BEARER_TOKEN にはトークンが含まれます。