W tej sekcji opisano, jak uruchamiać narzędzia administracyjne i polecenia administracyjne systemu Edge po włączeniu SAML. Wiele zadań na Edge wymaga danych logowania administratora systemu, takich jak:
- Tworzenie organizacji i środowisk
- Dodawanie i usuwanie komponentów Edge
- Polecenia Runngin apigee-adminapi.sh
Jednak po włączeniu SAML w Edge zazwyczaj wyłącza się uwierzytelnianie podstawowe, tak aby jedynym sposobem uwierzytelnienie odbywa się z użyciem dostawcy tożsamości SAML. Dlatego musisz się upewnić, że została dodana konta administratora systemu z dostawcą tożsamości SAML.
Wywoływanie interfejsów Edge Management API jako administrator systemu
Wiele wywołań interfejsu Edge API wymaga podania danych logowania administratora systemu. Używanie SAML z interfejsem Edge Management API zawiera: instrukcje uzyskiwania i odświeżania tokenów podczas wykonywania wywołań interfejsu Edge Management API.
Korzystanie z pliku apigee-adminapi.sh narzędzie z uwierzytelnianiem SAML
Użyj narzędzia apigee-adminapi.sh, aby wykonać te same zadania konfiguracji Edge
odczytywane przez wywołania interfejsu Edge Management API. Zaletą
Zaletą narzędzia apigee-adminapi.sh jest:
- Używanie prostego interfejsu wiersza poleceń
- Implementuje uzupełnianie poleceń na podstawie tabulacji
- Zapewnia pomoc i informacje na temat użytkowania
- Może wyświetlać odpowiednie wywołanie interfejsu API, jeśli zdecydujesz się wypróbować interfejs API
Więcej informacji znajdziesz w artykule Korzystanie z apigee-ssoadminapi.sh.
Po włączeniu uwierzytelniania SAML możesz przekazać administratora systemu na kilka sposobów
dane logowania do narzędzia apigee-adminapi.sh.
Zobaczysz wszystkie opcje każdego polecenia apigee-adminapi.sh, w tym
do określania danych logowania SAML przy użyciu symbolu „-h” do polecenia. Dla:
przykład:
apigee-adminapi.sh orgs list -h
Możesz na przykład przekazać dane logowania administratora systemu:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow password_grant \ --admin adminEmail --oauth-password adminPword
Gdzie:
- Opcja
sso-urlokreśla adres URL modułu logowania jednokrotnego Apigee. Modyfikowanie portu lub protokołu, jeśli zostały zmienione z 9099 i HTTP. oauth-flowokreśla jedną z tych opcjipasscodelubpassword_grant. W tym przykładzie należy określićpassword_grant- adminEmail jest adresem e-mail administratora systemu sys.
oauth-passwordokreśla hasło administratora sys.
Możesz też użyć kodu dostępu podczas wywoływania polecenia:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-passcode passcode
Gdzie:
oauth-flowokreśla wartośćpasscode.oauth-passcodeokreśla kod dostępu uzyskany zhttp://edge_sso_IP_DNS:9099/passcode.
Na koniec możesz użyć tokena przy wywołaniu polecenia:
apigee-adminapi.sh orgs list --sso-url http://edge_sso_IP_DNS:9099 --oauth-flow passcode \ --admin adminEmail --oauth-token token
Gdzie:
oauth-flowokreśla wartośćpasscodealbopassword_grantw zależności od sposobu uzyskania tokena. W tym przykładzie należy określićpasscode, ponieważ token pochodzi z użyciaget_tokenZobacz Używanie SAML na urządzeniu Edge do zarządzania interfejsami API.oauh_tokenzawiera token.
Korzystanie z narzędzi brzegowych z uwierzytelnianiem SAML
Wiele narzędzi Edge wymaga danych logowania administratora systemu, takich jak:
apigee-provisionużywane do tworzenia organizacji, środowisk i wirtualnych gospodarzesetup.shsłuży do dodawania węzłów do istniejącego systemu- Wszelkie inne narzędzia, w których musisz podać dane logowania administratora systemu w konfiguracji plik
Te narzędzia przyjmują jako dane wejściowe plik konfiguracji, który określa dane logowania, używając właściwości:
ADMIN_EMAIL="adminEmail" APIGEE_ADMINPW=adminPWord
Jeśli pominiesz hasło, pojawi się prośba o jego podanie.
Po włączeniu SAML należy używać różnych właściwości do określania danych logowania administratora systemu sys. Dla: można na przykład przekazać dane logowania administratora systemu:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=password_grant OAUTH_ADMIN_PASSWORD=adminPWord
Gdzie:
SSO_LOGIN_URLokreśla adres URL modułu logowania jednokrotnego Apigee. Zmień port lub , jeśli zostały zmienione z 9099 na HTTP.OAUTH_FLOWokreśla wartośćpasscodealbopassword_grantW tym przykładzie określaszpassword_grant, ponieważ przekazujesz hasło administratora sys.OAUTH_ADMIN_PASSWORDokreśla hasło administratora sys.
Możesz też użyć tych właściwości, aby określić dane logowania jako część proces kodu dostępu:
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_ADMIN_PASSCODE=passcode
Gdzie:
OAUTH_FLOWokreśla wartośćpasscode.OAUTH_ADMIN_PASSCODEokreśla kod dostępu uzyskany zhttp://edge_sso_IP_DNS:9099/passcode.
Możesz też użyć tokena
ADMIN_EMAIL="adminEmail" SSO_LOGIN_URL=http://edge_sso_IP_DNS:9099 OAUTH_FLOW=passcode OAUTH_BEARER_TOKEN=token
Gdzie:
OAUTH_FLOWokreśla wartośćpasscodealbopassword_grantw zależności od sposobu uzyskania tokena. W tym przykładzie określony przez Ciebie (passcode), ponieważ token pochodzi z użyciaget_tokenZobacz Używanie SAML na urządzeniu Edge do zarządzania interfejsami API.OAUTH_BEARER_TOKENzawiera token.