Anda sedang melihat dokumentasi Apigee Edge.
Buka
Dokumentasi Apigee X. info
Untuk portal terintegrasi, Anda dapat menentukan penyedia identitas untuk mendukung jenis autentikasi yang ditentukan dalam tabel berikut.
Jenis autentikasi | Deskripsi |
---|---|
Bawaan | Mewajibkan pengguna meneruskan kredensial mereka (nama pengguna dan sandi) ke portal terintegrasi untuk autentikasi.Saat Anda membuat portal baru, penyedia identitas bawaan akan dikonfigurasi dan diaktifkan. Untuk memahami pengalaman login dari perspektif pengguna, lihat Login ke portal menggunakan kredensial pengguna (penyedia bawaan). |
SAML (Beta) | Security Assertion Markup Language (SAML) adalah protokol standar untuk lingkungan single sign-on (SSO). Autentikasi SSO menggunakan SAML memungkinkan pengguna untuk login ke portal terintegrasi Apigee Edge tanpa harus membuat akun baru. Pengguna login menggunakan kredensial akun mereka yang dikelola secara terpusat. Untuk memahami pengalaman login dari perspektif pengguna, lihat Login ke portal menggunakan SAML. |
Manfaat autentikasi SAML untuk portal terintegrasi
Mengonfigurasi SAML sebagai penyedia identitas untuk portal terintegrasi menawarkan manfaat berikut:
- Siapkan program developer Anda sekali dan gunakan kembali di beberapa portal terintegrasi. Pilih program developer saat membuat portal terintegrasi. Mengupdate atau mengubah program developer dengan mudah seiring berkembangnya persyaratan.
- Kontrol penuh pengelolaan pengguna
Hubungkan server SAML perusahaan Anda ke portal terintegrasi. Saat pengguna keluar dari organisasi dan dicabut aksesnya secara terpusat, mereka tidak dapat lagi melakukan autentikasi dengan layanan SSO untuk menggunakan portal terintegrasi.
Mengonfigurasi penyedia identitas bawaan
Konfigurasi penyedia identitas bawaan, seperti yang dijelaskan di bagian berikut.
Mengakses halaman Penyedia Identitas Bawaan
Untuk mengakses penyedia identitas bawaan:
- Pilih Publikasikan > Portal di menu navigasi samping untuk menampilkan daftar portal.
- Klik baris portal tempat Anda ingin melihat tim.
- Klik Akun di halaman landing portal. Atau, Anda dapat memilih Akun di drop-down portal di menu navigasi atas.
- Klik tab Authentication.
- Di bagian Identity providers, klik jenis penyedia Built-in.
- Konfigurasikan penyedia identitas bawaan, seperti yang dijelaskan di bagian berikut:
Mengaktifkan penyedia identitas bawaan
Untuk mengaktifkan penyedia identitas bawaan:
- Akses halaman Penyedia Identitas Bawaan.
- Klik di bagian Konfigurasi Penyedia.
Centang kotak Enabled untuk mengaktifkan penyedia identitas.
Untuk menonaktifkan penyedia identitas bawaan, hapus centang pada kotak.
Klik Simpan.
Batasi pendaftaran portal menurut alamat email atau domain
Batasi pendaftaran portal dengan mengidentifikasi alamat email individual (developer@some-company.com
) atau domain email (some-company.com
, tanpa @
di awal) yang dapat membuat akun di portal Anda.
Untuk mencocokkan semua subdomain bertingkat, tambahkan string karakter pengganti *.
ke domain atau subdomain. Misalnya, *.example.com
akan cocok dengan test@example.com
, test@dev.example.com
, dan seterusnya.
Jika dibiarkan kosong, alamat email apa pun dapat digunakan untuk mendaftar di portal.
Untuk membatasi pendaftaran portal menurut alamat email atau domain:
- Akses halaman Penyedia Identitas Bawaan.
- Klik di bagian Konfigurasi Penyedia.
- Di bagian Pembatasan akun, masukkan alamat email atau domain email yang ingin Anda izinkan untuk mendaftar dan login ke portal di kotak teks lalu klik +.
- Tambahkan entri lain, jika diperlukan.
- Untuk menghapus entri, klik x di samping entri.
- Klik Simpan.
Mengonfigurasi notifikasi email
Untuk penyedia bawaan, Anda dapat mengaktifkan dan mengonfigurasi notifikasi email berikut:
Notifikasi email | Penerima | Pemicu | Deskripsi |
---|---|---|---|
Notifikasi Akun | Penyedia API | Pengguna portal membuat akun baru | Jika Anda mengonfigurasi portal agar mewajibkan aktivasi akun pengguna secara manual, Anda harus mengaktifkan akun pengguna secara manual sebelum pengguna portal dapat login. |
Verifikasi Akun | Pengguna portal | Pengguna portal membuat akun baru | Menyediakan link yang aman untuk memverifikasi pembuatan akun. Masa berlaku link akan berakhir dalam 10 menit. |
Saat mengonfigurasi notifikasi email:
- Gunakan tag HTML untuk memformat teks. Pastikan untuk mengirim email percobaan guna memvalidasi format yang muncul seperti yang diharapkan.
Anda dapat menyisipkan satu atau beberapa variabel berikut yang akan diganti saat notifikasi email dikirim.
Variabel Deskripsi {
{firstName}
}
Nama depan {
{lastName}
}
Nama belakang {
{email}
}
Alamat email {
{siteurl}
}
Link ke portal live {
{verifylink}
}
Link yang digunakan untuk verifikasi akun
Untuk mengonfigurasi notifikasi email:
- Akses halaman Penyedia Identitas Bawaan.
Untuk mengonfigurasi notifikasi email yang dikirim ke:
- Penyedia API untuk aktivasi akun developer baru, klik di bagian Notifikasi Akun.
- Pengguna portal untuk memverifikasi identitas mereka, klik di bagian Verifikasi Akun.
Edit kolom Subjek dan Isi.
Klik Kirim Email Uji Coba untuk mengirim email percobaan ke alamat email Anda.
Klik Simpan.
Mengonfigurasi penyedia identitas SAML (beta)
Konfigurasi penyedia identitas SAML, seperti yang dijelaskan di bagian berikut.
Mengakses halaman Penyedia Identitas SAML
Untuk mengakses penyedia identitas SAML:
- Pilih Publikasikan > Portal di menu navigasi samping untuk menampilkan daftar portal.
- Klik baris portal tempat Anda ingin melihat tim.
- Klik Akun di halaman landing portal. Atau, Anda dapat memilih Akun di drop-down portal di menu navigasi atas.
- Klik tab Authentication.
- Di bagian Identity providers, klik jenis penyedia SAML.
Konfigurasi penyedia identitas SAML, seperti yang dijelaskan di bagian berikut:
Aktifkan penyedia identitas SAML
Untuk mengaktifkan penyedia identitas SAML:
- Akses halaman Penyedia Identitas SAML.
- Klik di bagian Konfigurasi Penyedia.
Centang kotak Enabled untuk mengaktifkan penyedia identitas.
Untuk menonaktifkan penyedia identitas SAML, hapus centang pada kotak.
Klik Simpan.
Jika Anda telah mengonfigurasi domain kustom, lihat Menggunakan domain kustom dengan penyedia identitas SAML.
Mengonfigurasi setelan SAML
Untuk mengonfigurasi setelan SAML:
- Akses halaman Penyedia Identitas SAML.
- Di bagian SAML Settings, klik .
Klik Salin di samping URL metadata SP.
Konfigurasi penyedia identitas SAML menggunakan informasi di file metadata penyedia layanan (SP).
Untuk beberapa penyedia identitas SAML, Anda hanya akan diminta untuk memasukkan URL metadata. Untuk kasus lainnya, Anda harus mengekstrak informasi spesifik dari file metadata dan memasukkannya ke dalam formulir.
Pada kasus yang kedua, tempel URL ke browser untuk mendownload file metadata SP dan mengekstrak informasi yang diperlukan. Misalnya, ID entitas atau URL login dapat diekstrak dari elemen berikut dalam file metadata SP:<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
Konfigurasi setelan SAML untuk penyedia identitas.
Di bagian SAML Settings, edit nilai berikut yang diperoleh dari file metadata penyedia identitas SAML:
Setelan SAML Deskripsi URL login URL tempat pengguna dialihkan untuk login ke penyedia identitas SAML.
Misalnya:https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
URL Keluar URL tempat pengguna dialihkan untuk logout dari penyedia identitas SAML. Kosongkan kolom ini kosong jika:
- Penyedia identitas SAML Anda tidak menyediakan URL logout
- Anda tidak ingin pengguna logout dari penyedia identitas SAML saat mereka logout dari portal terintegrasi
- Anda ingin mengaktifkan domain kustom (lihat masalah umum)
ID entitas IDP ID unik untuk penyedia identitas SAML.
Misalnya:http://www.okta.com/exkhgdyponHIp97po0h7
Klik Simpan.
Mengonfigurasi atribut pengguna kustom untuk penyedia identitas SAML
Untuk memastikan pemetaan yang tepat antara penyedia identitas SAML dan akun developer portal, sebaiknya Anda membuat dan mengonfigurasi atribut pengguna kustom yang ditentukan dalam tabel berikut untuk penyedia identitas SAML Anda. Tetapkan nilai setiap atribut khusus ke atribut pengguna yang sesuai yang ditentukan oleh penyedia identitas SAML Anda (misalnya, Okta).
Atribut khusus | Contoh (Okta) |
---|---|
first_name |
user.firstName |
last_name |
user.lastName |
email |
user.email |
Berikut cara mengonfigurasi atribut pengguna kustom dan atribut NameID
menggunakan Okta sebagai penyedia identitas SAML pihak ketiga.
Menggunakan domain kustom dengan penyedia identitas SAML
Setelah mengonfigurasi dan mengaktifkan penyedia identitas SAML, Anda dapat mengonfigurasi domain kustom (seperti, developers.example.com
), seperti yang dijelaskan dalam artikel Menyesuaikan domain Anda.
Penting untuk menjaga sinkronisasi setelan konfigurasi antara domain kustom dan penyedia identitas SAML. Jika setelan konfigurasi tidak sinkron, Anda mungkin mengalami masalah selama otorisasi. Misalnya, permintaan otorisasi yang dikirim ke penyedia identitas SAML mungkin memiliki AssertionConsumerServiceURL
yang tidak ditentukan menggunakan domain kustom.
Agar setelan konfigurasi tetap sinkron antara domain kustom dan penyedia identitas SAML:
Jika Anda mengonfigurasi atau mengupdate domain kustom setelah mengaktifkan dan mengonfigurasi penyedia identitas SAML, simpan konfigurasi domain kustom dan pastikan domain tersebut diaktifkan. Tunggu sekitar 30 menit hingga cache dibatalkan, lalu konfigurasi ulang penyedia identitas SAML menggunakan informasi yang diperbarui di file metadata penyedia layanan (SP), seperti yang dijelaskan di Mengonfigurasi setelan SAML. Anda akan melihat domain kustom di Metadata SP.
Jika Anda mengonfigurasi domain kustom sebelum mengonfigurasi dan mengaktifkan penyedia identitas SAML, Anda harus mereset domain kustom (dijelaskan di bawah) untuk memastikan bahwa penyedia identitas SAML dikonfigurasi dengan benar.
Jika perlu mereset (menonaktifkan dan mengaktifkan kembali) penyedia identitas SAML, seperti yang dijelaskan dalam Mengaktifkan penyedia identitas SAML, Anda juga harus Mereset domain kustom (dijelaskan di bawah).
Mereset domain kustom
Untuk mereset (menonaktifkan dan mengaktifkan) domain kustom:
- Pilih Publikasikan > Portal di navigasi sebelah kiri dan pilih portal Anda.
- Pilih Setelan di menu drop-down di menu navigasi atas atau di halaman landing.
- Klik tab Domains.
- Klik Disable untuk menonaktifkan domain kustom.
- Klik Aktifkan untuk mengaktifkan kembali domain kustom.
Untuk mengetahui informasi selengkapnya, lihat Menyesuaikan domain.
Upload sertifikat baru
Untuk mengupload sertifikat baru:
Download sertifikat dari penyedia identitas SAML Anda.
Klik baris zona identitas tempat Anda ingin mengupload sertifikat baru.
Di bagian Certificate, klik .
Klik Cari dan buka sertifikat di direktori lokal Anda.
Klik Buka untuk mengupload sertifikat baru.
Kolom Informasi sertifikat diperbarui untuk mencerminkan sertifikat yang dipilih.
Pastikan bahwa sertifikat valid dan masa berlakunya belum habis.
Klik Simpan.
Mengonversi sertifikat x509 ke format PEM
Jika mendownload sertifikat x509, Anda harus mengonversinya ke format PEM.
Untuk mengonversi sertifikat x509 ke format PEM:
- Salin konten
ds:X509Certificate element
dari file metadata penyedia identitas SAML dan tempel ke editor teks favorit Anda. - Tambahkan baris berikut di bagian atas file:
-----BEGIN CERTIFICATE-----
- Tambahkan baris berikut di bagian bawah file:
-----END CERTIFICATE-----
- Simpan file menggunakan ekstensi
.pem
.
Berikut adalah contoh konten file PEM:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----