הגדרה של ספק הזהויות

כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של Apigee X.
מידע

בפורטלים משולבים, אפשר להגדיר ספקי זהויות שיתמכו בסוגי האימות שמוגדרים בטבלה הבאה.

סוג אימות תיאור
מובנית

המשתמשים צריכים להעביר את פרטי הכניסה שלהם (שם משתמש וסיסמה) לפורטל המשולב לצורך אימות.כשיוצרים פורטל חדש, ספק הזהויות המובנה מוגדר ומופעל.

כדי להבין את חוויית הכניסה מנקודת המבט של המשתמש, כדאי לעיין במאמר בנושא כניסה לפורטל באמצעות פרטי כניסה של משתמש (ספק מובנה).

SAML (בטא)

שפת הסימון של טענת האבטחה (SAML) היא פרוטוקול סטנדרטי לסביבת כניסה יחידה (SSO). אימות SSO באמצעות SAML מאפשר למשתמשים להתחבר לפורטלים המשולבים של Apigee Edge בלי ליצור חשבונות חדשים. משתמשים מתחברים באמצעות פרטי הכניסה של החשבונות המנוהלים שלהם באופן מרוכז.

כדי להבין את חוויית הכניסה מנקודת המבט של המשתמש, כדאי לעיין במאמר כניסה לפורטל באמצעות SAML.

היתרונות של אימות SAML בפורטלים משולבים

הגדרה של SAML כספק זהויות בפורטל משולב מעניקה את היתרונות הבאים:

  • מגדירים את תוכנית המפתחים פעם אחת, ומשתמשים בה שוב בכמה פורטלים משולבים. כשיוצרים את הפורטל המשולב, צריך לבחור את התוכנית למפתחים. מעדכנים או משנים בקלות את התוכנית למפתחים בהתאם לשינויים שחלו בדרישות.
  • שליטה מלאה בניהול המשתמשים
    חיבור שרת ה-SAML של החברה לפורטל המשולב. כשמשתמשים עוזבים את הארגון וניהול ההקצאות שלהם מבוטל באופן מרכזי, הם לא יכולים יותר לבצע אימות מול שירות ה-SSO כדי להשתמש בפורטל המשולב.

הגדרת ספק הזהויות המובנה

מגדירים את ספק הזהויות המובנה כפי שמתואר בסעיפים הבאים.

גישה לדף 'ספק הזהויות המובנה'

כדי לגשת לספק הזהויות המובנה:

  1. בסרגל הניווט שבצד, בוחרים פרסום > פורטלים כדי להציג את רשימת הפורטלים.
  2. לוחצים על השורה של הפורטל שעבורו רוצים לראות את הצוותים.
  3. לוחצים על חשבונות בדף הנחיתה של הפורטל. לחלופין, אפשר לבחור באפשרות חשבונות בתפריט הנפתח של הפורטל בסרגל הניווט העליון.
  4. לוחצים על הכרטיסייה אימות.
  5. בקטע ספקי זהויות, לוחצים על סוג הספק מובנה.
  6. מגדירים את ספק הזהויות המובנה כפי שמתואר בקטעים הבאים:

הפעלת ספק הזהויות המובנה

כדי להפעיל את ספק הזהויות המובנה:

  1. נכנסים לדף 'ספק הזהויות המובנה'.
  2. לוחצים על בקטע Provider Configuration.
  3. מסמנים את תיבת הסימון מופעל כדי להפעיל את ספק הזהויות.

    כדי להשבית את ספק הזהויות המובנה, מבטלים את הסימון בתיבת הסימון.

  4. לוחצים על שמירה.

הגבלת רישום פורטל לפי כתובת אימייל או דומיין

ניתן להגביל את הרישום בפורטל על ידי זיהוי כתובות האימייל (developer@some-company.com) או הדומיינים של כתובות האימייל (some-company.com, ללא @ המובילים) שיכולות ליצור חשבונות בפורטל שלך.

כדי להתאים את כל תת-הדומיינים בתוך רכיב, צריך להוסיף את מחרוזת התו הכללי לחיפוש *. לדומיין או לתת-דומיין. לדוגמה, הפונקציה *.example.com תתאים ל-test@example.com, ל-test@dev.example.com וכן הלאה.

אם תשאירו את השדה ריק, ניתן יהיה להשתמש בכל כתובת אימייל כדי להירשם בפורטל.

כדי להגביל רישום לפורטל לפי כתובת אימייל או דומיין:

  1. נכנסים לדף 'ספק הזהויות המובנה'.
  2. לוחצים על בקטע Provider Configuration.
  3. בקטע 'הגבלות חשבון', בתיבת הטקסט מזינים כתובת אימייל או דומיין אימייל שרוצים לאפשר להם לרשום ולהיכנס לפורטל, ואז לוחצים על +.
  4. מוסיפים עוד רשומות לפי הצורך.
  5. כדי למחוק רשומה, לוחצים על ה-x שלצד הרשומה.
  6. לוחצים על שמירה.

הגדרת התראות באימייל

אצל הספק המובנה, ניתן להפעיל ולהגדיר את התראות האימייל הבאות:

התראה באימייל נמען Trigger תיאור
הודעה לחשבוןספק APIמשתמש הפורטל יוצר חשבון חדשאם הגדרתם שהפורטל ידרוש הפעלה ידנית של חשבונות משתמשים, תצטרכו להפעיל את חשבון המשתמש באופן ידני כדי שמשתמש הפורטל יוכל להיכנס.
אימות חשבוןמשתמש בפורטלמשתמש הפורטל יוצר חשבון חדשמספק קישור מאובטח לאימות יצירת חשבון. תוקף הקישור יפוג בעוד 10 דקות.

כשמגדירים את התראות האימייל:

  • משתמשים בתגי HTML כדי לעצב את הטקסט. כדי לוודא שהפורמט נראה תקין, חשוב לשלוח אימייל לבדיקה.
  • אפשר להוסיף אחד או יותר מהמשתנים הבאים שיוחלפו כשהודעת האימייל תישלח.

    משתנה תיאור
    {{firstName}} שם פרטי
    {{lastName}} שם משפחה
    {{email}} כתובת האימייל
    {{siteurl}} קישור לפורטל השידור החי
    {{verifylink}} הקישור ששימש לאימות החשבון

כדי להגדיר התראות באימייל:

  1. נכנסים לדף 'ספק הזהויות המובנה'.
  2. כדי להגדיר התראות אימייל שיישלחו אל:

    • ספקי API להפעלת חשבון פיתוח חדש, לוחצים על בקטע התראה לחשבון.
    • משתמשים בפורטל כדי לאמת את הזהות שלהם, לוחצים על בקטע אימות חשבון.
  3. עורכים את השדות נושא וגוף ההודעה.

  4. לוחצים על שליחת אימייל לבדיקה כדי לשלוח את אימייל הבדיקה לכתובת האימייל שלכם.

  5. לוחצים על שמירה.

הגדרת ספק הזהויות של SAML (בטא)

מגדירים את ספק הזהויות של SAML, כמו שמוסבר בסעיפים הבאים.

גישה לדף של ספק הזהויות ב-SAML

כדי לגשת לספק הזהויות של SAML:

  1. בסרגל הניווט שבצד, בוחרים פרסום > פורטלים כדי להציג את רשימת הפורטלים.
  2. לוחצים על השורה של הפורטל שעבורו רוצים לראות את הצוותים.
  3. לוחצים על חשבונות בדף הנחיתה של הפורטל. לחלופין, אפשר לבחור באפשרות חשבונות בתפריט הנפתח של הפורטל בסרגל הניווט העליון.
  4. לוחצים על הכרטיסייה אימות.
  5. בקטע ספקי זהויות, לוחצים על סוג הספק SAML.
  6. מגדירים את ספק הזהויות של SAML, כמו שמתואר בקטעים הבאים:

הפעלה של ספק הזהויות של SAML

כדי להפעיל את ספק הזהויות של SAML:

  1. נכנסים לדף 'ספק זהויות' ב-SAML.
  2. לוחצים על בקטע Provider Configuration.
  3. מסמנים את תיבת הסימון מופעל כדי להפעיל את ספק הזהויות.

    כדי להשבית את ספק הזהויות של SAML, מבטלים את הסימון של תיבת הסימון.

  4. לוחצים על שמירה.

  5. אם הגדרתם דומיין מותאם אישית, כדאי לעיין במאמר בנושא שימוש בדומיין מותאם אישית עם ספק הזהויות של SAML.

קביעת ההגדרות של SAML

כדי לקבוע את ההגדרות של SAML:

  1. נכנסים לדף 'ספק זהויות' ב-SAML.
  2. בקטע הגדרות SAML, לוחצים על .
  3. לוחצים על העתקה לצד כתובת ה-URL של המטא-נתונים של SP.

  4. מגדירים את ספק הזהויות ב-SAML באמצעות המידע שכלול בקובץ המטא-נתונים של ספק השירות (SP).

    אצל חלק מספקי הזהויות של SAML, תוצג לכם בקשה רק לכתובת ה-URL של המטא-נתונים. במקרים אחרים, צריך לחלץ מידע ספציפי מקובץ המטא-נתונים ולהזין אותו בטופס.

    במקרה השני, צריך להדביק את כתובת ה-URL לדפדפן כדי להוריד את קובץ המטא-נתונים של ה-SP ולחלץ את המידע הנדרש. לדוגמה, אפשר לשלוף את מזהה הישות או את כתובת ה-URL לכניסה מהרכיבים הבאים בקובץ המטא-נתונים של ספק השירות (SP):

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
  5. קובעים את הגדרות SAML עבור ספק הזהויות.

    בקטע הגדרות SAML, עורכים את הערכים הבאים שהתקבלו מקובץ המטא-נתונים של ספק הזהויות ב-SAML:

    הגדרת SAMLתיאור
    כתובת URL לכניסהכתובת ה-URL שאליה המשתמשים מופנים לכניסה לספק הזהויות ב-SAML.
    לדוגמה: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    כתובת URL ליציאהכתובת ה-URL שאליה המשתמשים מופנים ליציאה מספק הזהויות של SAML.

    יש להשאיר את השדה הזה ריק אם:

    • ספק הזהויות שלך ב-SAML לא מספק כתובת URL ליציאה
    • אינך רוצה שהמשתמשים ינותקו מספק הזהויות של SAML כשהם יוצאים מהפורטל המשולב
    • אתם רוצים להפעיל דומיין מותאם אישית (יש לעיין בבעיה הידועה).
    מזהה ישות של IdPמזהה ייחודי לספק הזהויות של SAML.
    לדוגמה: http://www.okta.com/exkhgdyponHIp97po0h7
  6. לוחצים על שמירה.

הגדרה של מאפייני משתמש מותאמים אישית לספק הזהויות ב-SAML

כדי להבטיח מיפוי תקין בין ספק הזהויות של SAML לבין חשבונות הפיתוח בפורטל, מומלץ ליצור ולהגדיר את מאפייני המשתמש בהתאמה אישית שמוגדרים בטבלה הבאה עבור ספק הזהויות של SAML. מגדירים את הערך של כל מאפיין מותאם אישית למאפיין המשתמש התואם שהוגדר על ידי ספק הזהויות של SAML (לדוגמה, Okta).

מאפיין מותאם אישית דוגמה (Okta)
first_name user.firstName
last_name user.lastName
email user.email

בהמשך נסביר איך להגדיר מאפייני משתמש מותאמים אישית ואת המאפיין NameID באמצעות Okta כספק הזהויות של צד שלישי ב-SAML.

שימוש בדומיין מותאם אישית עם ספק הזהויות של SAML

אחרי שמגדירים ומפעילים את ספק הזהויות של SAML, אפשר להגדיר דומיין מותאם אישית (כמו developers.example.com), כפי שמתואר במאמר התאמה אישית של הדומיין.

חשוב להקפיד על סנכרון ההגדרות בין הדומיין המותאם אישית לבין ספק הזהויות ב-SAML. אם ההגדרות האישיות לא מסונכרנות, יכול להיות שיהיו בעיות במהלך מתן ההרשאה. לדוגמה, בקשת ההרשאה שנשלחה לספק הזהויות של SAML עשויה לכלול AssertionConsumerServiceURL שלא מוגדר באמצעות הדומיין המותאם אישית.

כדי לשמור על סנכרון ההגדרות בין הדומיין המותאם אישית לבין ספק הזהויות ב-SAML:

  • אם מגדירים או מעדכנים את הדומיין המותאם אישית אחרי ההפעלה וההגדרה של ספק הזהויות של SAML, צריך לשמור את התצורה של הדומיין המותאם אישית ולוודא שהוא מופעל. צריך להמתין כ-30 דקות עד שהמטמון יבוטל, ואז להגדיר מחדש את ספק הזהויות ב-SAML באמצעות המידע המעודכן בקובץ המטא-נתונים של ספק השירות (SP), כפי שמתואר בקביעת הגדרות SAML. הדומיין המותאם אישית אמור להופיע במטא-נתונים של ספק השירות.

  • אם מגדירים דומיין מותאם אישית לפני שמגדירים ומפעילים את ספק הזהויות של SAML, צריך לאפס את הדומיין המותאם אישית (כמתואר בהמשך) כדי להבטיח שספק הזהויות ב-SAML מוגדר נכון.

  • אם צריך לאפס (להשבית ולהפעיל מחדש) את ספק הזהויות ב-SAML, כמתואר במאמר הפעלה של ספק הזהויות ב-SAML, צריך גם לאפס את הדומיין המותאם אישית (כפי שמתואר בהמשך).

איפוס הדומיין המותאם אישית

כדי לאפס (להשבית ולהפעיל) את הדומיין המותאם אישית:

  1. בתפריט הניווט הימני, בוחרים פרסום > פורטלים ובוחרים את הפורטל שלכם.
  2. בוחרים באפשרות הגדרות בתפריט הנפתח בסרגל הניווט העליון או בדף הנחיתה.
  3. לוחצים על הכרטיסייה דומיינים.
  4. לוחצים על השבתה כדי להשבית את הדומיין המותאם אישית.
  5. לוחצים על הפעלה כדי להפעיל מחדש את הדומיין המותאם אישית.

מידע נוסף זמין במאמר התאמה אישית של הדומיין.

העלאת אישור חדש

כדי להעלות אישור חדש:

  1. יש להוריד את האישור מספק הזהויות שלך ב-SAML.

  2. נכנסים לדף 'ספק זהויות' ב-SAML.

  3. לוחצים על השורה של אזור הזהות שעבורו רוצים להעלות אישור חדש.

  4. בקטע אישור, לוחצים על .

  5. לוחצים על Browse (עיון) ועוברים אל האישור בספרייה המקומית.

  6. לוחצים על פתיחה כדי להעלות את האישור החדש.
    שדות הפרטים של האישור מעודכנים כך שישקפו את האישור שנבחר.

  7. מוודאים שהאישור בתוקף ושתוקפו לא פג.

  8. לוחצים על שמירה.

המרת אישור x509 לפורמט PEM

אם מורידים אישור x509, צריך להמיר אותו לפורמט PEM.

כדי להמיר אישור x509 לפורמט PEM:

  1. מעתיקים את התוכן של ds:X509Certificate element מקובץ המטא-נתונים של ספק הזהויות ב-SAML ומדביקים אותו בעורך הטקסט המועדף.
  2. בחלק העליון של הקובץ, מוסיפים את השורה הבאה:
    -----BEGIN CERTIFICATE-----
  3. בחלק התחתון של הקובץ, מוסיפים את השורה הבאה:
    -----END CERTIFICATE-----
  4. שומרים את הקובץ באמצעות סיומת .pem.

למטה מוצגת דוגמה לתוכן של קובץ PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----