このセクションでは、SAML を有効にした後に Edge のシステム管理ツールとコマンドを実行する方法について説明します。 Edge 上の多くのタスクには、次のようなシステム管理認証情報が必要です。
- 組織と環境の作成
- Edge コンポーネントの追加と削除
- apigee-adminapi.sh コマンドの実行
ただし、Edge で SAML を有効にした後は、通常は Basic 認証を無効にするため、 SAML IDP が使用されます。そのため、カスタム ディメンションを追加して SAML IDP にマッピングする必要があります。
Edge Management API を呼び出して、 システム管理者
多くの Edge API 呼び出しでは、システム管理者の認証情報を渡す必要があります。「Using SAML with the Edge Management API」の説明 Edge Management API 呼び出しの際にトークンを取得および更新する方法について説明します。
apigee-adminapi.sh の使用 SAML 認証を使用するユーティリティ
apigee-adminapi.sh ユーティリティを使用して、同じ Edge 構成タスクを実行します。
Edge Management API を呼び出して実行します。Kubernetes の
apigee-adminapi.sh ユーティリティの特徴は次のとおりです。
- シンプルなコマンドライン インターフェースを使用する
- タブベースのコマンド補完を実装します。
- ヘルプと使用方法に関する情報を提供する
- API を試す場合に、対応する API 呼び出しを表示できる
詳細については、apigee-ssoadminapi.sh の使用をご覧ください。
SAML 認証を有効にした後、いくつかの方法でシステム管理者を認証
apigee-adminapi.sh ユーティリティに認証情報を登録します。
次のコマンドを含む、apigee-adminapi.sh コマンドのすべてのオプションを確認できます。
オプション(例: 「-h」オプションを使用します。次に例を示します。
apigee-adminapi.sh orgs list -h
たとえば、システム管理者の認証情報を渡すことができます。
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \ --admin adminEmail --oauth-password adminPword
ここで
sso-urlオプションには、Apigee SSO モジュールの URL を指定します。ポートを変更する 9099 と HTTP から変更した場合は、プロトコルやプロトコルをエンコードする必要があります。oauth-flowは、次のいずれかを指定します。passcodeまたはpassword_grant。この例では、password_grant。- adminEmail はシステム管理者のメールアドレスです。
oauth-passwordには、システム管理者のパスワードを指定します。
または、コマンドを呼び出すときにパスコードを使用することもできます。
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-passcode passcode
ここで
oauth-flowにはpasscodeを指定します。oauth-passcodeには、取得したパスコードを指定します。http://edge_sso_IP_DNS:9099/passcode.
最後に、コマンドを呼び出すときにトークンを使用できます。
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-token token
ここで
oauth-flowには、passcodeまたはpassword_grant。最初のトークンの取得方法によって異なります。この例では、 最初に以下を使用してトークンを取得したため、passcodeを指定します。get_token。Edge での SAML の使用 Management API を使用します。oauh_tokenにはトークンが含まれます。
SAML 認証での Edge ユーティリティの使用
次のような多くの Edge ユーティリティでは、システム管理者の認証情報が必要です。
- 組織、環境、仮想の作成に
apigee-provisionを使用 ホスト setup.sh: 既存のシステムにノードを追加するために使用されます。- 構成でシステム管理者の認証情報を指定する必要があるその他のユーティリティ ファイル
これらのユーティリティは、構成ファイルを入力として受け取ります。このファイルには、システム管理者の 次のプロパティを使用します。
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
パスワードを省略すると、パスワードの入力を求められます。
SAML を有効にした後、さまざまなプロパティを使用してシステム管理者の認証情報を指定します。対象 たとえば、システム管理者の認証情報を渡すことができます。
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
ここで
SSO_LOGIN_URLには、Apigee SSO モジュールの URL を指定します。ポートを変更するか、 9099 や HTTP から変更している場合にこの 2 つのプロトコルを使用します。OAUTH_FLOWには、passcodeまたはpassword_grant。この例ではpassword_grantを指定しているため、 システム管理者のパスワードが渡されます。OAUTH_ADMIN_PASSWORDには、システム管理者のパスワードを指定します。
また、次のプロパティを使用して、サービス アカウントの一部として認証情報を指定することもできます。 パスコード フロー:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
ここで
OAUTH_FLOWにはpasscodeを指定します。OAUTH_ADMIN_PASSCODEには、取得したパスコードを指定します。http://edge_sso_IP_DNS:9099/passcode.
最後に、トークンを使用して
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
ここで
OAUTH_FLOWには、passcodeまたはpassword_grant。最初のトークンの取得方法によって異なります。この例ではpasscodeを指定します。これは、最初にget_token。Edge での SAML の使用 Management API を使用します。OAUTH_BEARER_TOKENにはトークンが含まれます。