Sử dụng các tiện ích và API dành cho quản trị viên Edge sau khi bật SAML

Phần này mô tả cách chạy các lệnh và công cụ quản trị hệ thống của Edge sau khi bật SAML. Nhiều tác vụ trên Edge yêu cầu thông tin xác thực quản trị hệ thống, chẳng hạn như:

  • Tạo tổ chức và môi trường
  • Thêm và xoá các thành phần Edge
  • Các lệnh Runngin apigee-adminapi.sh

Tuy nhiên, sau khi bật SAML trên Edge, bạn thường tắt tính năng Xác thực cơ bản để cách duy nhất để xác thực là thông qua IDP SAML. Do đó, bạn phải đảm bảo rằng bạn đã thêm tài khoản quản trị viên hệ thống vào SAML IDP của mình.

Gọi API quản lý Edge với vai trò là quản trị viên hệ thống

Nhiều lệnh gọi API Edge yêu cầu bạn phải chuyển thông tin xác thực của quản trị viên hệ thống. Bài viết Sử dụng SAML với API Quản lý Edge có hướng dẫn về cách lấy và làm mới mã thông báo khi thực hiện lệnh gọi API Quản lý Edge.

Sử dụng tiện ích apigee-adminapi.sh với phương thức xác thực SAML

Sử dụng tiện ích apigee-adminapi.sh để thực hiện cùng các tác vụ định cấu hình Edge mà bạn thực hiện bằng cách thực hiện lệnh gọi đến Edge Management API (API Quản lý Edge). Ưu điểm của tiện ích apigee-adminapi.sh là:

  • Sử dụng giao diện dòng lệnh đơn giản
  • Triển khai tính năng hoàn tất lệnh dựa trên thẻ
  • Cung cấp thông tin trợ giúp và thông tin về việc sử dụng
  • Có thể hiển thị lệnh gọi API tương ứng nếu bạn quyết định dùng thử API

Để biết thêm, hãy xem phần Sử dụng apigee-ssoadminapi.sh.

Sau khi bật tính năng xác thực SAML, bạn có một số cách để chuyển thông tin xác thực của quản trị viên hệ thống sang tiện ích apigee-adminapi.sh.

Bạn có thể xem tất cả tuỳ chọn cho bất kỳ lệnh apigee-adminapi.sh nào, bao gồm cả tuỳ chọn để chỉ định thông tin xác thực SAML bằng cách dùng tuỳ chọn "-h" cho lệnh đó. Ví dụ:

apigee-adminapi.sh orgs list -h

Ví dụ: bạn có thể chuyển thông tin xác thực của quản trị viên hệ thống:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \
  --admin adminEmail --oauth-password adminPword

Trong trường hợp:

  • Tuỳ chọn sso-url sẽ chỉ định URL của mô-đun SSO của Apigee. Sửa đổi cổng hoặc giao thức nếu bạn đã thay đổi cổng hoặc giao thức từ 9099 và HTTP.
  • oauth-flow chỉ định passcode hoặc password_grant. Trong ví dụ này, bạn chỉ định password_grant.
  • adminEmail là địa chỉ email của quản trị viên hệ thống.
  • oauth-password chỉ định mật khẩu của quản trị viên hệ thống.

Ngoài ra, bạn có thể sử dụng mật mã khi gọi lệnh:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-passcode passcode

Trong trường hợp:

  • oauth-flow chỉ định passcode.
  • oauth-passcode chỉ định mật mã lấy từ http://edge_sso_IP_DNS:9099/passcode.

Cuối cùng, bạn có thể sử dụng mã thông báo khi gọi lệnh:

apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \
  --admin adminEmail --oauth-token token

Trong trường hợp:

  • oauth-flow chỉ định passcode hoặc password_grant, tuỳ thuộc vào cách bạn nhận được mã thông báo ban đầu. Trong ví dụ này, bạn chỉ định passcode vì ban đầu bạn đã nhận được mã thông báo bằng cách sử dụng get_token. Hãy xem phần Sử dụng SAML bằng API Quản lý Edge.
  • oauh_token chứa mã thông báo.

Sử dụng các tiện ích của Edge với phương thức xác thực SAML

Nhiều tiện ích Edge yêu cầu thông tin xác thực của quản trị viên hệ thống, chẳng hạn như:

  • apigee-provision dùng để tạo tổ chức, môi trường và máy chủ ảo
  • setup.sh được dùng để thêm các nút vào một hệ thống hiện có
  • Bất kỳ tiện ích nào khác mà bạn phải chỉ định thông tin đăng nhập của quản trị viên hệ thống trong một tệp cấu hình

Các tiện ích này sẽ lấy dữ liệu đầu vào của một tệp cấu hình chỉ định thông tin đăng nhập của quản trị viên hệ thống bằng cách sử dụng các thuộc tính:

ADMIN_EMAIL="adminEmail"
APIGEE_ADMINPW=adminPWord

Nếu bỏ qua mật khẩu, bạn sẽ được nhắc nhập mật khẩu.

Sau khi bật SAML, bạn sẽ sử dụng nhiều tài sản để chỉ định thông tin xác thực của quản trị viên hệ thống. Ví dụ: bạn có thể chuyển thông tin đăng nhập của quản trị viên hệ thống:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=password_grant
OAUTH_ADMIN_PASSWORD=adminPWord

Trong trường hợp:

  • SSO_LOGIN_URL chỉ định URL của mô-đun SSO của Apigee. Sửa đổi cổng hoặc giao thức nếu bạn đã thay đổi các cổng hoặc giao thức từ 9099 và HTTP.
  • OAUTH_FLOW chỉ định passcode hoặc password_grant. Trong ví dụ này, bạn chỉ định password_grant vì bạn đang truyền mật khẩu của quản trị viên hệ thống.
  • OAUTH_ADMIN_PASSWORD chỉ định mật khẩu của quản trị viên hệ thống.

Ngoài ra, bạn có thể sử dụng các thuộc tính sau để chỉ định thông tin xác thực trong quy trình sử dụng mật mã:

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_ADMIN_PASSCODE=passcode

Trong trường hợp:

  • OAUTH_FLOW chỉ định passcode.
  • OAUTH_ADMIN_PASSCODE chỉ định mật mã lấy từ http://edge_sso_IP_DNS:9099/passcode.

Cuối cùng, bạn có thể dùng mã thông báo

ADMIN_EMAIL="adminEmail"
SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099
OAUTH_FLOW=passcode
OAUTH_BEARER_TOKEN=token

Trong trường hợp:

  • OAUTH_FLOW chỉ định passcode hoặc password_grant, tuỳ thuộc vào cách bạn nhận được mã thông báo ban đầu. Trong ví dụ này, bạn chỉ định passcode vì ban đầu bạn đã nhận được mã thông báo bằng cách sử dụng get_token. Hãy xem phần Sử dụng SAML bằng API Quản lý Edge.
  • OAUTH_BEARER_TOKEN chứa mã thông báo.