Cette section explique comment exécuter les outils et commandes d'administration système Edge après avoir activé SAML. De nombreuses tâches sur Edge nécessitent des identifiants d'administration système, telles que:
- Créer des organisations et des environnements
- Ajout et suppression de composants Edge
- Exécuter des commandes apigee-adminapi.sh
Toutefois, après avoir activé SAML sur Edge, vous désactivez généralement l'authentification de base de sorte que le seul moyen de vous authentifier consiste à passer par l'IdP SAML. Vous devez donc vous assurer d'avoir ajouté le compte d'administrateur système à votre IdP SAML.
Appel des API de gestion Edge en tant qu'administrateur système
De nombreux appels d'API Edge nécessitent la transmission des identifiants d'un administrateur système. L'utilisation de SAML avec l'API de gestion Edge contient des instructions sur la façon d'obtenir et d'actualiser des jetons lors des appels d'API de gestion Edge.
Utilisation de l'utilitaire apigee-adminapi.sh avec l'authentification SAML
Utilisez l'utilitaire apigee-adminapi.sh
pour effectuer les mêmes tâches de configuration Edge que en appelant l'API de gestion Edge. L'avantage de l'utilitaire apigee-adminapi.sh
est qu'il:
- Utiliser une interface de ligne de commande simple
- Implémentation de la saisie semi-automatique via des commandes
- Fournit de l'aide et des informations sur l'utilisation
- Possibilité d'afficher l'appel d'API correspondant si vous décidez d'essayer l'API
Pour en savoir plus, consultez la section Utiliser apigee-ssoadminapi.sh.
Après avoir activé l'authentification SAML, vous disposez de plusieurs moyens pour transmettre les identifiants d'administrateur système à l'utilitaire apigee-adminapi.sh
.
Vous pouvez afficher toutes les options de n'importe quelle commande apigee-adminapi.sh
, y compris celles permettant de spécifier des identifiants SAML, en utilisant l'option "-h" de la commande. Exemple :
apigee-adminapi.sh orgs list -h
Par exemple, vous pouvez transmettre les identifiants de l'administrateur système:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \ --admin adminEmail --oauth-password adminPword
Où :
- L'option
sso-url
spécifie l'URL du module SSO Apigee. Modifiez le port ou le protocole si vous les avez remplacés par 9099 et HTTP. oauth-flow
spécifiepasscode
oupassword_grant
. Dans cet exemple, vous spécifiezpassword_grant
.- adminEmail est l'adresse e-mail de l'administrateur système.
oauth-password
spécifie le mot de passe de l'administrateur système.
Vous pouvez également utiliser un code secret lorsque vous appelez la commande:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-passcode passcode
Où :
oauth-flow
spécifiepasscode
.oauth-passcode
spécifie le code secret obtenu à partir dehttp://edge_sso_IP_DNS:9099/passcode.
.
Enfin, vous pouvez utiliser un jeton lors de l'appel de la commande:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-token token
Où :
oauth-flow
spécifiepasscode
oupassword_grant
, selon la façon dont vous avez initialement obtenu le jeton. Dans cet exemple, vous spécifiezpasscode
, car vous avez initialement obtenu le jeton en utilisantget_token
. Consultez la section Utiliser SAML avec l'API de gestion Edge.oauh_token
contient le jeton.
Utilisation des utilitaires Edge avec l'authentification SAML
De nombreux utilitaires Edge ont besoin d'identifiants d'administrateur système, tels que:
apigee-provision
utilisé pour créer des organisations, des environnements et des hôtes virtuelssetup.sh
utilisé pour ajouter des nœuds à un système existant- Tout autre utilitaire nécessitant de spécifier les identifiants de l'administrateur système dans un fichier de configuration
Ces utilitaires utilisent en entrée un fichier de configuration qui spécifie les identifiants de l'administrateur système à l'aide des propriétés:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Si vous omettez le mot de passe, vous êtes invité à le faire.
Après avoir activé SAML, vous devez utiliser des propriétés différentes pour spécifier les identifiants de l'administrateur système. Par exemple, vous pouvez transmettre les identifiants de l'administrateur système:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
Où :
SSO_LOGIN_URL
spécifie l'URL du module SSO Apigee. Modifiez le port ou le protocole si vous les avez remplacés par 9099 et HTTP.OAUTH_FLOW
spécifiepasscode
oupassword_grant
. Dans cet exemple, vous spécifiezpassword_grant
, car vous transmettez le mot de passe de l'administrateur système.OAUTH_ADMIN_PASSWORD
spécifie le mot de passe de l'administrateur système.
Vous pouvez également utiliser les propriétés suivantes pour spécifier les identifiants dans le cadre d'un flux de code secret:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
Où :
OAUTH_FLOW
spécifiepasscode
.OAUTH_ADMIN_PASSCODE
spécifie le code secret obtenu à partir dehttp://edge_sso_IP_DNS:9099/passcode.
.
Enfin, vous pouvez utiliser un jeton
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
Où :
OAUTH_FLOW
spécifiepasscode
oupassword_grant
, selon la façon dont vous avez initialement obtenu le jeton. Dans cet exemple, vous spécifiezpasscode
, car vous avez initialement obtenu le jeton à l'aide deget_token
. Consultez la section Utiliser SAML avec l'API de gestion Edge.OAUTH_BEARER_TOKEN
contient le jeton.