Định cấu hình nhà cung cấp danh tính

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến Tài liệu về Apigee X. thông tin

Đối với cổng tích hợp, bạn có thể xác định nhà cung cấp danh tính để hỗ trợ các loại xác thực được xác định trong bảng sau.

Loại xác thực Mô tả
Tích hợp sẵn

Yêu cầu người dùng chuyển thông tin đăng nhập của họ (tên người dùng và mật khẩu) vào cổng tích hợp để xác thực.Khi bạn tạo cổng thông tin mới, nhà cung cấp danh tính tích hợp sẵn sẽ được định cấu hình và bật.

Để tìm hiểu về trải nghiệm đăng nhập từ góc độ người dùng, hãy xem bài viết Đăng nhập vào cổng bằng thông tin đăng nhập của người dùng (nhà cung cấp tích hợp sẵn).
SAML (Phiên bản thử nghiệm)

Ngôn ngữ đánh dấu khẳng định bảo mật (SAML) là giao thức tiêu chuẩn cho môi trường đăng nhập một lần (SSO). Tính năng xác thực SSO bằng SAML cho phép người dùng đăng nhập vào cổng tích hợp Apigee Edge mà không cần tạo tài khoản mới. Người dùng đăng nhập bằng thông tin đăng nhập của tài khoản được quản lý tập trung.

Để tìm hiểu về trải nghiệm đăng nhập từ góc độ người dùng, hãy xem bài viết Đăng nhập vào cổng thông tin bằng SAML.

Lợi ích của tính năng xác thực SAML đối với cổng tích hợp

Việc định cấu hình SAML làm nhà cung cấp danh tính cho cổng tích hợp sẽ mang lại các lợi ích sau:

  • Thiết lập chương trình dành cho nhà phát triển một lần rồi sử dụng lại trên nhiều cổng tích hợp. Chọn chương trình nhà phát triển khi tạo cổng thông tin tích hợp. Dễ dàng cập nhật hoặc thay đổi chương trình dành cho nhà phát triển khi các yêu cầu không ngừng thay đổi.
  • Có toàn quyền kiểm soát hoạt động quản lý người dùng
    Kết nối máy chủ SAML của công ty bạn với cổng tích hợp. Khi người dùng rời khỏi tổ chức của bạn và bị huỷ cấp phép tập trung, họ sẽ không thể xác thực bằng dịch vụ SSO của bạn để sử dụng cổng tích hợp nữa.

Định cấu hình nhà cung cấp danh tính được tích hợp sẵn

Định cấu hình nhà cung cấp danh tính được tích hợp sẵn như mô tả trong các phần sau.

Truy cập vào trang Nhà cung cấp danh tính được tích hợp sẵn

Cách truy cập vào nhà cung cấp danh tính được tích hợp sẵn:

  1. Chọn Xuất bản > Cổng vào trong thanh điều hướng bên để hiển thị danh sách cổng.
  2. Nhấp vào hàng của cổng thông tin mà bạn muốn xem các nhóm.
  3. Nhấp vào Tài khoản trên trang đích của cổng thông tin. Ngoài ra, bạn cũng có thể chọn Tài khoản trong trình đơn thả xuống cổng thông tin ở thanh điều hướng trên cùng.
  4. Nhấp vào thẻ Xác thực.
  5. Trong mục Nhà cung cấp danh tính, hãy nhấp vào loại nhà cung cấp Tích hợp sẵn.
  6. Định cấu hình nhà cung cấp danh tính được tích hợp sẵn như mô tả trong các phần sau:

Bật nhà cung cấp danh tính được tích hợp sẵn

Cách bật nhà cung cấp danh tính được tích hợp sẵn:

  1. Truy cập trang Nhà cung cấp danh tính được tích hợp sẵn.
  2. Nhấp vào trong phần Cấu hình nhà cung cấp.

  3. Chọn hộp đánh dấu Đã bật để bật nhà cung cấp danh tính.

    Để tắt nhà cung cấp danh tính được tích hợp sẵn, hãy bỏ chọn hộp đánh dấu.

  4. Nhấp vào Lưu.

Hạn chế đăng ký cổng thông tin theo địa chỉ email hoặc miền

Hạn chế đăng ký cổng thông tin bằng cách xác định từng địa chỉ email (developer@some-company.com) hoặc miền email (some-company.com, không có @ đứng đầu) có thể tạo tài khoản trên cổng của bạn.

Để so khớp với tất cả các miền con lồng nhau, hãy thêm chuỗi ký tự đại diện *. vào một miền hoặc miền con. Ví dụ: *.example.com sẽ khớp với test@example.com, test@dev.example.com, v.v.

Nếu để trống, người dùng có thể sử dụng bất kỳ địa chỉ email nào để đăng ký trên cổng thông tin.

Cách hạn chế hoạt động đăng ký cổng thông tin theo địa chỉ email hoặc miền:

  1. Truy cập trang Nhà cung cấp danh tính được tích hợp sẵn.
  2. Nhấp vào trong phần Cấu hình nhà cung cấp.
  3. Trong phần Hạn chế tài khoản, hãy nhập địa chỉ email hoặc miền email mà bạn muốn cho phép đăng ký rồi đăng nhập vào cổng thông tin trong hộp văn bản rồi nhấp vào dấu +.
  4. Thêm các mục khác, nếu cần.
  5. Để xoá một mục, hãy nhấp vào dấu x bên cạnh mục đó.
  6. Nhấp vào Lưu.

Thiết lập thông báo qua email

Đối với nhà cung cấp tích hợp sẵn, bạn có thể bật và định cấu hình các thông báo qua email sau đây:

Thông báo email Người nhận Kích hoạt Mô tả
Thông báo về tài khoảnNhà cung cấp APINgười dùng cổng tạo tài khoản mớiNếu đã định cấu hình cổng thông tin để yêu cầu kích hoạt tài khoản người dùng theo cách thủ công, thì bạn cần phải kích hoạt tài khoản người dùng theo cách thủ công trước khi người dùng cổng có thể đăng nhập.
Xác minh tài khoảnNgười dùng cổng thông tinNgười dùng cổng tạo tài khoản mớiCung cấp một đường liên kết an toàn để xác minh việc tạo tài khoản. Đường liên kết sẽ hết hạn sau 10 phút.

Khi định cấu hình thông báo qua email:

  • Sử dụng thẻ HTML để định dạng văn bản. Hãy nhớ gửi email thử nghiệm để xác thực rằng định dạng có đúng như dự kiến.

  • Bạn có thể chèn một hoặc nhiều biến sau đây. Các biến này sẽ được thay thế khi thông báo qua email được gửi.

    Biến Mô tả
    {{firstName}} Tên
    {{lastName}} Họ
    {{email}} Địa chỉ email
    {{siteurl}} Đường liên kết đến cổng thông tin trực tiếp
    {{verifylink}} Đường liên kết được dùng để xác minh tài khoản

Để định cấu hình thông báo qua email, hãy làm như sau:

  1. Truy cập vào trang Nhà cung cấp danh tính được tích hợp sẵn.

  2. Để định cấu hình thông báo qua email được gửi tới:

    • Nhà cung cấp API để kích hoạt tài khoản nhà phát triển mới, hãy nhấp vào trong phần Thông báo về tài khoản.
    • Người dùng cổng thông tin để xác minh danh tính của họ, hãy nhấp vào trong phần Xác minh tài khoản.

  3. Chỉnh sửa các trường Tiêu đềNội dung.

  4. Nhấp vào Gửi email thử nghiệm để gửi một email thử nghiệm đến địa chỉ email của bạn.

  5. Nhấp vào Lưu.

Định cấu hình nhà cung cấp danh tính SAML (thử nghiệm)

Định cấu hình nhà cung cấp danh tính SAML, như được mô tả trong các phần sau.

Truy cập trang Nhà cung cấp danh tính SAML

Để truy cập vào nhà cung cấp danh tính SAML:

  1. Chọn Xuất bản > Cổng vào trong thanh điều hướng bên để hiển thị danh sách cổng.
  2. Nhấp vào hàng của cổng thông tin mà bạn muốn xem các nhóm.
  3. Nhấp vào Tài khoản trên trang đích của cổng thông tin. Ngoài ra, bạn cũng có thể chọn Tài khoản trong trình đơn thả xuống cổng thông tin ở thanh điều hướng trên cùng.
  4. Nhấp vào thẻ Xác thực.
  5. Trong phần Nhà cung cấp danh tính, hãy nhấp vào loại nhà cung cấp SAML.

  6. Định cấu hình nhà cung cấp danh tính SAML, như được mô tả trong các phần sau:

Bật nhà cung cấp danh tính SAML

Cách bật nhà cung cấp danh tính SAML:

  1. Truy cập vào trang Nhà cung cấp danh tính SAML.
  2. Nhấp vào trong phần Cấu hình nhà cung cấp.

  3. Chọn hộp đánh dấu Đã bật để bật nhà cung cấp danh tính.

    Để tắt nhà cung cấp danh tính SAML, hãy bỏ chọn hộp đánh dấu.

  4. Nhấp vào Lưu.

  5. Nếu bạn đã định cấu hình một miền tuỳ chỉnh, hãy xem phần Sử dụng miền tuỳ chỉnh với nhà cung cấp danh tính SAML.

Định cấu hình chế độ cài đặt SAML

Cách định cấu hình chế độ cài đặt SAML:

  1. Truy cập vào trang Nhà cung cấp danh tính SAML.
  2. Trong phần Cài đặt SAML, hãy nhấp vào .

  3. Nhấp vào Sao chép bên cạnh URL siêu dữ liệu SP.

  4. Định cấu hình nhà cung cấp danh tính SAML bằng cách sử dụng thông tin trong tệp siêu dữ liệu của nhà cung cấp dịch vụ (SP).

    Đối với một số nhà cung cấp danh tính SAML, bạn sẽ chỉ được nhắc cung cấp URL của siêu dữ liệu. Đối với những trường hợp khác, bạn cần trích xuất thông tin cụ thể từ tệp siêu dữ liệu rồi nhập thông tin đó vào biểu mẫu.

    Trong trường hợp sau, hãy dán URL vào một trình duyệt để tải tệp siêu dữ liệu SP xuống và trích xuất thông tin cần thiết. Ví dụ: bạn có thể trích xuất mã nhận dạng thực thể hoặc URL đăng nhập từ những phần tử sau trong tệp siêu dữ liệu SP:

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

  5. Định cấu hình chế độ cài đặt SAML cho nhà cung cấp danh tính.

    Trong phần Cài đặt SAML, hãy chỉnh sửa các giá trị sau nhận được từ tệp siêu dữ liệu của nhà cung cấp danh tính SAML:

    Chế độ cài đặt SAMLMô tả
    URL đăng nhậpURL mà người dùng được chuyển hướng để đăng nhập vào nhà cung cấp danh tính SAML.
    Ví dụ: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL đăng xuấtURL mà người dùng được chuyển hướng đến để đăng xuất khỏi nhà cung cấp danh tính SAML.

    Để trống trường này nếu:

    • Nhà cung cấp danh tính SAML của bạn không cung cấp URL đăng xuất
    • Bạn không muốn người dùng bị đăng xuất khỏi nhà cung cấp danh tính SAML khi họ đăng xuất khỏi cổng tích hợp
    • Bạn muốn bật một miền tuỳ chỉnh (tham khảo vấn đề đã biết)
    Mã nhận dạng thực thể IDPMã nhận dạng duy nhất của nhà cung cấp danh tính SAML.
    Ví dụ: http://www.okta.com/exkhgdyponHIp97po0h7

  6. Nhấp vào Lưu.

Định cấu hình thuộc tính người dùng tuỳ chỉnh cho nhà cung cấp danh tính SAML

Để đảm bảo liên kết đúng cách giữa nhà cung cấp danh tính SAML và tài khoản nhà phát triển cổng, bạn nên tạo và định cấu hình thuộc tính người dùng tuỳ chỉnh được xác định trong bảng sau đây cho nhà cung cấp danh tính SAML của bạn. Đặt giá trị của mỗi thuộc tính tuỳ chỉnh thành thuộc tính người dùng tương ứng do nhà cung cấp danh tính SAML (ví dụ: Okta) xác định.

Thuộc tính tuỳ chỉnh Ví dụ (Okta)
first_name user.firstName
last_name user.lastName
email user.email

Phần sau đây cho biết cách định cấu hình thuộc tính người dùng tuỳ chỉnh và thuộc tính NameID bằng cách sử dụng Okta làm nhà cung cấp danh tính bên thứ ba dựa trên SAML.

Sử dụng một miền tuỳ chỉnh thông qua nhà cung cấp danh tính SAML

Sau khi định cấu hình và bật nhà cung cấp danh tính SAML, bạn có thể định cấu hình một miền tuỳ chỉnh (chẳng hạn như developers.example.com) theo mô tả trong phần Tuỳ chỉnh miền của bạn.

Điều quan trọng là bạn phải đồng bộ hoá các chế độ cài đặt cấu hình giữa miền tuỳ chỉnh và nhà cung cấp danh tính dùng SAML. Nếu chế độ cài đặt cấu hình không đồng bộ, bạn có thể gặp sự cố trong quá trình uỷ quyền. Ví dụ: yêu cầu uỷ quyền được gửi tới nhà cung cấp danh tính SAML có thể có một AssertionConsumerServiceURL không được xác định bằng miền tuỳ chỉnh.

Để đồng bộ hoá chế độ cài đặt cấu hình giữa miền tuỳ chỉnh và nhà cung cấp danh tính SAML:

  • Nếu bạn định cấu hình hoặc cập nhật miền tuỳ chỉnh sau khi bật và định cấu hình nhà cung cấp danh tính SAML, hãy lưu cấu hình của miền tuỳ chỉnh và đảm bảo cấu hình đó đã được bật. Đợi khoảng 30 phút để bộ nhớ đệm vô hiệu hoá, sau đó thiết lập lại nhà cung cấp danh tính SAML bằng cách sử dụng thông tin đã cập nhật trong tệp siêu dữ liệu của nhà cung cấp dịch vụ (SP), như mô tả trong phần Định cấu hình chế độ cài đặt SAML. Bạn sẽ thấy miền tuỳ chỉnh của mình trong Siêu dữ liệu SP.

  • Nếu bạn định cấu hình một miền tuỳ chỉnh trước khi định cấu hình và bật nhà cung cấp danh tính SAML, thì bạn cần đặt lại miền tuỳ chỉnh (như mô tả bên dưới) để đảm bảo rằng nhà cung cấp danh tính SAML được định cấu hình đúng cách.

  • Nếu cần đặt lại (tắt và bật lại) nhà cung cấp danh tính SAML, như mô tả trong phần Bật nhà cung cấp danh tính SAML, bạn cũng phải Đặt lại miền tuỳ chỉnh (mô tả bên dưới).

Đặt lại miền tuỳ chỉnh

Để đặt lại (vô hiệu hóa và bật) miền tùy chỉnh:

  1. Chọn Xuất bản > Cổng vào trong bảng điều hướng bên trái và chọn cổng của bạn.
  2. Chọn Cài đặt trong trình đơn thả xuống ở thanh điều hướng ở trên cùng hoặc trên trang đích.
  3. Nhấp vào thẻ Miền.
  4. Nhấp vào Tắt để tắt miền tùy chỉnh.
  5. Nhấp vào Bật để bật lại miền tuỳ chỉnh.

Để biết thêm thông tin, hãy xem phần Tuỳ chỉnh miền của bạn.

Tải chứng chỉ mới lên

Cách tải chứng chỉ mới lên:

  1. Tải chứng chỉ xuống qua nhà cung cấp danh tính SAML.

  2. Truy cập vào trang Nhà cung cấp danh tính SAML.

  3. Nhấp vào hàng của vùng danh tính mà bạn muốn tải chứng chỉ mới lên.

  4. Trong mục Certificate (Chứng chỉ), hãy nhấp vào .

  5. Nhấp vào Duyệt qua và chuyển đến chứng chỉ trong thư mục trên máy của bạn.

  6. Nhấp vào Mở để tải chứng chỉ mới lên.
    Trường thông tin chứng chỉ được cập nhật để phản ánh chứng chỉ đã chọn.

  7. Xác minh rằng chứng chỉ là hợp lệ và chưa hết hạn.

  8. Nhấp vào Lưu.

Chuyển đổi chứng chỉ x509 sang định dạng PEM

Nếu tải chứng chỉ x509 xuống, bạn cần chuyển đổi chứng chỉ đó sang định dạng PEM.

Cách chuyển đổi chứng chỉ x509 sang định dạng PEM:

  1. Sao chép nội dung của ds:X509Certificate element từ tệp siêu dữ liệu của nhà cung cấp danh tính SAML rồi dán vào trình chỉnh sửa văn bản bạn yêu thích.
  2. Thêm dòng sau vào đầu tệp:
    -----BEGIN CERTIFICATE-----
  3. Thêm dòng sau vào cuối tệp:
    -----END CERTIFICATE-----
  4. Lưu tệp bằng đuôi .pem.

Sau đây là một ví dụ về nội dung tệp PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----