将外部 IDP 与 Edge API 搭配使用时,您通过 IDP 交互获取 OAuth2 访问令牌和刷新令牌的过程称为“密码流程”。通过密码流程,您可以使用浏览器获取一次性密码,然后使用该密码获取 OAuth2 令牌。
但是,您的开发环境可能支持自动执行常见开发任务,例如测试自动化或 CI/CD。如需在启用外部 IDP 后自动执行这些任务,您需要一种方法来获取和刷新 OAuth2 令牌,而无需从浏览器复制/粘贴密码。
Edge 支持通过使用已启用 IDP 的组织中的机器用户自动生成令牌。机器用户可以获取 OAuth2 令牌,而无需指定密码。这意味着您可以使用 Edge Management API 完全自动执行获取和刷新 OAuth2 令牌的过程。
您可以通过以下两种方式为已启用 IDP 的组织创建机器用户:
以下各部分介绍了上述方法。
您无法为未启用外部 IdP 的组织创建计算机用户。
使用 apigee-ssoadminapi.sh
创建机器用户
使用 apigee-ssoadminapi.sh
实用程序在已启用 IDP 的组织中创建机器用户。如需了解详情,请参阅使用 apigee-ssoadminapi.sh。您可以创建单个机器用户供所有组织使用,也可以为每个组织创建一个单独的机器用户。
机器用户是创建并存储在 Edge 数据存储区中,而不是您的 IDP 中。因此,您无需负责使用 Edge 界面和 Edge Management API 来维护机器用户。
创建机器用户时,您必须指定电子邮件地址和密码。创建机器用户后,您可以将其分配给一个或多个组织。
如需使用 apigee-ssoadminapi.sh
创建机器用户,请执行以下操作:
- 使用以下
apigee-ssoadminapi.sh
命令创建机器用户:apigee-ssoadminapi.sh saml machineuser add --admin SSO_ADMIN_NAME \ --secret SSO_ADMIN_SECRET --host Edge_SSO_IP_or_DNS \ -u machine_user_email -p machine_user_password
QUESTION/TBD: Does apigee-ssoadminapi.sh also take "ldap" as an argument?
其中:
- SSO_ADMIN_NAME 是配置 Apigee SSO 模块的配置文件中的
SSO_ADMIN_NAME
属性定义的管理员用户名。默认值为ssoadmin
。 - SSO_ADMIN_SECRET 是由配置文件中的
SSO_ADMIN_SECRET
属性指定的管理员密码。在此示例中,您可以省略
--port
和--ssl
的值,因为apigee-sso
模块对--port
使用默认值 9099,对--ssl
使用 http 默认值。如果您的安装项不使用这些默认值,请根据需要指定它们。
- SSO_ADMIN_NAME 是配置 Apigee SSO 模块的配置文件中的
- 登录 Edge 界面,并将机器用户的电子邮件地址添加到您的组织,并为机器用户分配必要的角色。如需了解详情,请参阅添加全球用户。
使用 Edge Management API 创建机器用户
您可以使用 Edge Management API 来创建机器用户,而不是使用 apigee-ssoadminapi.sh
实用程序。
要使用 Management API 创建机器用户,请执行以下操作:
- 使用以下
curl
命令获取ssoadmin
用户的令牌(apigee-sso
的管理员帐号的用户名):curl "http://Edge_SSO_IP_DNS:9099/oauth/token" -i -X POST \ -H 'Accept: application/json' / -H 'Content-Type: application/x-www-form-urlencoded' \ -d "response_type=token" -d "grant_type=client_credentials" \ --data-urlencode "client_secret=SSO_ADMIN_SECRET" \ --data-urlencode "client_id=ssoadmin"
其中,SSO_ADMIN_SECRET 是您在安装
apigee-sso
时设置的管理员密码(根据配置文件中的SSO_ADMIN_SECRET
属性指定)。此命令会显示进行下一次调用所需的令牌。
- 使用以下
curl
命令创建机器用户,并传递您在上一步中收到的令牌:curl "http://edge_sso_IP_DNS:9099/Users" -i -X POST \ -H "Accept: application/json" -H "Content-Type: application/json" \ -d '{"userName" : "machine_user_email", "name" : {"formatted":"DevOps", "familyName" : "last_name", "givenName" : "first_name"}, "emails" : [ {"value" : "machine_user_email", "primary" : true } ], "active" : true, "verified" : true, "password" : "machine_user_password" }' \ -H "Authorization: Bearer token"
您需要在后续步骤中使用机器用户密码。
- 登录 Edge 界面。
- 将机器用户的电子邮件地址添加到您的组织,并为机器用户分配必要的角色。如需了解详情,请参阅添加全球用户。
获取和刷新机器用户令牌
使用 Edge API 通过传递机器用户的凭据(而不是密码)获取和刷新 OAuth2 令牌。
如需为机器用户获取 OAuth2 令牌,请执行以下操作:
- 使用以下 API 调用生成初始访问令牌和刷新令牌:
curl -H "Content-Type: application/x-www-form-urlencoded;charset=utf-8" \ -H "accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://Edge_SSO_IP_DNS:9099/oauth/token -s \ -d 'grant_type=password&username=m_user_email&password=m_user_password'
保存令牌以备后用。
- 将访问令牌作为
Bearer
标头传递给 Edge Management API 调用,如以下示例所示:curl -H "Authorization: Bearer access_token" \ http://MS_IP_DNS:8080/v1/organizations/org_name
其中,org_name 是包含机器用户的组织的名称。
- 如需稍后刷新访问令牌,请使用以下包含刷新令牌的调用:
curl -H "Content-Type:application/x-www-form-urlencoded;charset=utf-8" \ -H "Accept: application/json;charset=utf-8" \ -H "Authorization: Basic ZWRnZWNsaTplZGdlY2xpc2VjcmV0" -X POST \ http://edge_sso_IP_DNS:9099/oauth/token \ -d 'grant_type=refresh_token&refresh_token=refreshToken'