In diesem Abschnitt wird beschrieben, wie Sie nach dem Aktivieren von SAML Tools und Befehle für die Edge-Systemverwaltung ausführen. Viele Aufgaben in Edge erfordern Anmeldedaten für die Systemadministration, z. B.:
- Organisationen und Umgebungen erstellen
- Edge-Komponenten hinzufügen und entfernen
- Befehle von apigee-adminapi.sh ausführen
Nachdem Sie jedoch SAML in Edge aktiviert haben, deaktivieren Sie in der Regel die Basisauthentifizierung, sodass die Authentifizierung nur über den SAML-IdP möglich ist. Daher müssen Sie dafür sorgen, dass Sie das Systemadministratorkonto Ihrem SAML-IdP hinzugefügt haben.
Edge-Verwaltungs-APIs als Systemadministrator aufrufen
Bei vielen Edge API-Aufrufen müssen Sie die Anmeldedaten des Systemadministrators übergeben. Unter SAML mit der Edge-Verwaltungs-API verwenden finden Sie eine Anleitung zum Abrufen und Aktualisieren von Tokens, wenn Edge-Verwaltungs-API-Aufrufe ausgeführt werden.
Dienstprogramm apigee-adminapi.sh mit SAML-Authentifizierung verwenden
Verwenden Sie das Dienstprogramm apigee-adminapi.sh
, um dieselben Edge-Konfigurationsaufgaben auszuführen, die Sie durch Aufrufe an die Edge-Verwaltungs-API ausführen. Das Dienstprogramm apigee-adminapi.sh
hat den Vorteil, dass es:
- Einfache Befehlszeile verwenden
- Implementiert die tabbasierte Befehlsvervollständigung
- Bietet Hilfe und Informationen zur Nutzung
- Der entsprechende API-Aufruf kann angezeigt werden, wenn du die API ausprobierst
Weitere Informationen finden Sie unter apigee-ssoadminapi.sh verwenden.
Nachdem Sie die SAML-Authentifizierung aktiviert haben, haben Sie mehrere Möglichkeiten, die Anmeldedaten des Systemadministrators an das Dienstprogramm apigee-adminapi.sh
zu übergeben.
Mit der Option „-h“ im Befehl werden alle Optionen für jeden apigee-adminapi.sh
-Befehl angezeigt, einschließlich der Optionen zum Angeben von SAML-Anmeldedaten. Beispiel:
apigee-adminapi.sh orgs list -h
Sie können beispielsweise die Anmeldedaten des Systemadministrators übergeben:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \ --admin adminEmail --oauth-password adminPword
Wobei:
- Die Option
sso-url
gibt die URL des Apigee-SSO-Moduls an. Ändern Sie den Port oder das Protokoll, wenn Sie sie von 9099 und HTTP geändert haben. oauth-flow
gibt entwederpasscode
oderpassword_grant
an. In diesem Beispiel geben Siepassword_grant
an.- adminEmail ist die E-Mail-Adresse des Systemadministrators.
oauth-password
gibt das Passwort des Systemadministrators an.
Alternativ können Sie beim Aufrufen des Befehls einen Sicherheitscode verwenden:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-passcode passcode
Wobei:
oauth-flow
gibtpasscode
an.oauth-passcode
gibt den vonhttp://edge_sso_IP_DNS:9099/passcode.
erhaltenen Sicherheitscode an.
Schließlich können Sie beim Aufrufen des Befehls ein Token verwenden:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-token token
Wobei:
oauth-flow
gibt entwederpasscode
oderpassword_grant
an, je nachdem, wie Sie das Token ursprünglich erhalten haben. In diesem Beispiel geben Siepasscode
an, da Sie das Token ursprünglich mitget_token
erhalten haben. Weitere Informationen finden Sie unter SAML mit der Edge-Verwaltungs-API verwenden.oauh_token
enthält das Token.
Edge-Dienstprogramme mit SAML-Authentifizierung verwenden
Viele Edge-Dienstprogramme erfordern Anmeldedaten des Systemadministrators, z. B.:
apigee-provision
zum Erstellen von Organisationen, Umgebungen und virtuellen Hostssetup.sh
wird verwendet, um einem vorhandenen System Knoten hinzuzufügen- Jedes andere Dienstprogramm, bei dem Sie die Anmeldedaten des Systemadministrators in einer Konfigurationsdatei angeben müssen
Diese Dienstprogramme verwenden als Eingabe eine Konfigurationsdatei, in der die Anmeldedaten des Systemadministrators mithilfe der Attribute angegeben werden:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Wenn Sie das Passwort weglassen, werden Sie aufgefordert, es einzugeben.
Nachdem Sie SAML aktiviert haben, verwenden Sie verschiedene Attribute, um die Anmeldedaten des Systemadministrators anzugeben. Sie können beispielsweise die Anmeldedaten des Systemadministrators übergeben:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
Wobei:
SSO_LOGIN_URL
gibt die URL des Apigee-SSO-Moduls an. Ändern Sie den Port oder das Protokoll, wenn Sie sie von 9099 und HTTP geändert haben.OAUTH_FLOW
gibt entwederpasscode
oderpassword_grant
an. In diesem Beispiel geben Siepassword_grant
an, da Sie das Passwort des Systemadministrators übergeben.OAUTH_ADMIN_PASSWORD
gibt das Passwort des Systemadministrators an.
Alternativ können Sie die folgenden Attribute verwenden, um die Anmeldedaten als Teil eines Sicherheitscodeablaufs anzugeben:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
Wobei:
OAUTH_FLOW
gibtpasscode
an.OAUTH_ADMIN_PASSCODE
gibt den vonhttp://edge_sso_IP_DNS:9099/passcode.
erhaltenen Sicherheitscode an.
Schließlich können Sie ein Token
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
Wobei:
OAUTH_FLOW
gibt entwederpasscode
oderpassword_grant
an, je nachdem, wie Sie das Token ursprünglich erhalten haben. In diesem Beispiel geben Siepasscode
an, da Sie das Token ursprünglich mitget_token
erhalten haben. Weitere Informationen finden Sie unter SAML mit der Edge-Verwaltungs-API verwenden.OAUTH_BEARER_TOKEN
enthält das Token.