Mengonfigurasi penyedia identitas

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X. info

Untuk portal terintegrasi, Anda dapat menentukan penyedia identitas untuk mendukung jenis autentikasi yang ditentukan dalam tabel berikut.

Jenis autentikasi	Deskripsi
Bawaan	Mengharuskan pengguna meneruskan kredensial (nama pengguna dan sandi) ke portal terintegrasi untuk autentikasi.Saat Anda membuat portal baru, penyedia identitas bawaan akan dikonfigurasi dan diaktifkan. Untuk memahami pengalaman login dari perspektif pengguna, lihat Login ke portal menggunakan kredensial pengguna (penyedia bawaan).
SAML (Beta)	{i>Security Assertion Markup Language <i}(SAML) adalah protokol standar untuk lingkungan {i>single sign-on<i} (SSO). Autentikasi SSO menggunakan SAML memungkinkan pengguna untuk login ke portal terintegrasi Apigee Edge Anda tanpa harus membuat akun baru. Pengguna login menggunakan kredensial akun mereka yang dikelola secara terpusat. Untuk memahami pengalaman login dari perspektif pengguna, lihat Login ke portal menggunakan SAML.

Manfaat autentikasi SAML untuk portal terintegrasi

Mengonfigurasi SAML sebagai penyedia identitas untuk portal terintegrasi menawarkan manfaat berikut:

• Siapkan program developer Anda sekali dan gunakan kembali di beberapa portal terintegrasi. Pilih program developer saat membuat portal terintegrasi. Memperbarui atau mengubah program developer dengan mudah seiring berkembangnya persyaratan.
• Kendalikan pengelolaan pengguna sepenuhnya
  Hubungkan server SAML perusahaan Anda ke portal terintegrasi. Saat pengguna keluar dari organisasi dan dicabut aksesnya secara terpusat, mereka tidak dapat lagi melakukan autentikasi dengan layanan SSO untuk menggunakan portal terintegrasi.

Mengonfigurasi penyedia identitas bawaan

Konfigurasikan penyedia identitas bawaan, seperti yang dijelaskan di bagian berikut.

Mengakses halaman Penyedia Identitas Bawaan

Untuk mengakses penyedia identitas bawaan:

1. Pilih Publikasikan > Portal di menu navigasi samping untuk menampilkan daftar portal.
2. Klik baris portal yang timnya ingin Anda lihat.
3. Klik Akun di halaman landing portal. Selain itu, Anda dapat memilih Akun di drop-down portal pada menu navigasi atas.
4. Klik tab Authentication.
5. Di bagian Identity providers, klik jenis penyedia Built-in.
   
6. Konfigurasikan penyedia identitas bawaan, seperti yang dijelaskan di bagian berikut:
   • Mengaktifkan penyedia identitas bawaan
   • Membatasi pendaftaran portal menurut alamat email atau domain
   • Mengonfigurasi notifikasi email

Aktifkan penyedia identitas bawaan

Untuk mengaktifkan penyedia identitas bawaan:

1. Akses halaman Penyedia Identitas Bawaan.
2. Klik di bagian Provider Configuration.

3. Centang kotak Diaktifkan untuk mengaktifkan penyedia identitas.
   

   Untuk menonaktifkan penyedia identitas bawaan, hapus centang pada kotak.

4. Klik Simpan.

Membatasi pendaftaran portal menurut alamat email atau domain

Batasi pendaftaran portal dengan mengidentifikasi alamat email individual (developer@some-company.com) atau domain email (some-company.com, tanpa @ utama) yang dapat membuat akun di portal Anda.

Untuk mencocokkan semua subdomain bertingkat, tambahkan string karakter pengganti *. ke domain atau subdomain. Misalnya, *.example.com akan cocok dengan test@example.com, test@dev.example.com, dan seterusnya.

Jika dibiarkan kosong, alamat email apa pun dapat digunakan untuk mendaftar di portal.

Untuk membatasi pendaftaran portal menurut alamat email atau domain:

1. Akses halaman Penyedia Identitas Bawaan.
2. Klik di bagian Provider Configuration.
3. Di bagian Pembatasan akun, masukkan alamat email atau domain email yang ingin diizinkan untuk mendaftar dan login ke portal di kotak teks, lalu klik +.
4. Tambahkan entri tambahan, sesuai kebutuhan.
5. Untuk menghapus entri, klik x di samping entri tersebut.
6. Klik Simpan.

Mengonfigurasi notifikasi email

Untuk penyedia bawaan, Anda dapat mengaktifkan dan mengonfigurasi notifikasi email berikut:

Notifikasi email	Penerima	Pemicu	Deskripsi
Notifikasi Akun	Penyedia API	Pengguna portal membuat akun baru	Jika Anda mengonfigurasi portal untuk mewajibkan aktivasi akun pengguna secara manual, Anda harus mengaktifkan akun pengguna secara manual sebelum pengguna portal dapat login.
Verifikasi Akun	Pengguna portal	Pengguna portal membuat akun baru	Menyediakan link yang aman untuk memverifikasi pembuatan akun. Masa berlaku link akan berakhir dalam 10 menit.

Saat mengonfigurasi notifikasi email:

• Gunakan tag HTML untuk memformat teks. Pastikan Anda mengirimkan email percobaan untuk memvalidasi format yang muncul seperti yang diharapkan.

• Anda dapat menyisipkan satu atau beberapa variabel berikut yang akan diganti saat notifikasi email dikirim.

  Variabel	Deskripsi
  {{firstName}}	Nama depan
  {{lastName}}	Nama belakang
  {{email}}	Alamat email
  {{siteurl}}	Tautkan ke portal live
  {{verifylink}}	Link digunakan untuk verifikasi akun

Untuk mengonfigurasi notifikasi email:

1. Akses halaman Penyedia Identitas Bawaan.

2. Untuk mengonfigurasi notifikasi email yang dikirim ke:

   • Penyedia API untuk aktivasi akun developer baru, klik di bagian Notifikasi Akun.
   • Pengguna portal untuk memverifikasi identitas mereka, klik di bagian Verifikasi Akun.

3. Edit kolom Subjek dan Isi.

4. Klik Send Test Email untuk mengirimkan email percobaan ke alamat email Anda.

5. Klik Simpan.

Mengonfigurasi penyedia identitas SAML (beta)

Konfigurasikan penyedia identitas SAML, seperti yang dijelaskan di bagian berikut.

Mengakses halaman Penyedia Identitas SAML

Untuk mengakses penyedia identitas SAML:

1. Pilih Publikasikan > Portal di menu navigasi samping untuk menampilkan daftar portal.
2. Klik baris portal yang timnya ingin Anda lihat.
3. Klik Akun di halaman landing portal. Selain itu, Anda dapat memilih Akun di drop-down portal pada menu navigasi atas.
4. Klik tab Authentication.
5. Di bagian Identity providers, klik jenis penyedia SAML.
   

6. Konfigurasikan penyedia identitas SAML, seperti yang dijelaskan di bagian berikut:

   • Mengaktifkan penyedia identitas SAML
   • Mengonfigurasi setelan SAML
   • Mengonfigurasi atribut pengguna kustom untuk penyedia identitas SAML
   • Mengupload sertifikat baru

Aktifkan penyedia identitas SAML

Untuk mengaktifkan penyedia identitas SAML:

1. Akses halaman Penyedia Identitas SAML.
2. Klik di bagian Provider Configuration.

3. Centang kotak Diaktifkan untuk mengaktifkan penyedia identitas.

   

   Untuk menonaktifkan penyedia identitas SAML, hapus centang pada kotak.

4. Klik Simpan.

5. Jika Anda telah mengonfigurasi domain kustom, lihat Menggunakan domain kustom dengan penyedia identitas SAML.

Mengonfigurasi setelan SAML

Untuk mengonfigurasi setelan SAML:

1. Akses halaman Penyedia Identitas SAML.
2. Pada bagian SAML Settings, klik .

3. Klik Copy di samping SP metadata URL.
   

4. Konfigurasikan penyedia identitas SAML Anda menggunakan informasi dalam file metadata penyedia layanan (SP).

   Untuk beberapa penyedia identitas SAML, Anda hanya akan diminta untuk memasukkan URL metadata. Untuk opsi lainnya, Anda perlu mengekstrak informasi tertentu dari file metadata dan memasukkannya ke dalam formulir.
   
   Untuk yang kedua, tempel URL tersebut ke browser untuk mendownload file metadata SP dan mengekstrak informasi yang diperlukan. Misalnya, ID entitas atau URL login dapat diekstrak dari elemen berikut dalam file metadata SP:

   • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
   • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

5. Konfigurasikan setelan SAML untuk penyedia identitas.

   Di bagian SAML Settings, edit nilai berikut yang diperoleh dari file metadata penyedia identitas SAML Anda:

   Setelan SAML	Deskripsi
   URL login	URL tempat pengguna dialihkan untuk login ke penyedia identitas SAML. Misalnya: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
   URL Keluar	URL yang menjadi tujuan pengalihan pengguna untuk logout dari penyedia identitas SAML. Kosongkan kolom ini jika: Penyedia identitas SAML Anda tidak menyediakan URL logout Anda tidak ingin pengguna logout dari penyedia identitas SAML saat mereka logout dari portal terintegrasi Anda ingin mengaktifkan domain kustom (lihat masalah umum)
   ID entitas IDP	ID unik untuk penyedia identitas SAML. Misalnya: http://www.okta.com/exkhgdyponHIp97po0h7

6. Klik Simpan.

Mengonfigurasi atribut pengguna kustom untuk penyedia identitas SAML

Untuk memastikan pemetaan yang benar antara penyedia identitas SAML dan akun developer portal, sebaiknya buat dan konfigurasi atribut pengguna kustom yang ditentukan dalam tabel berikut untuk penyedia identitas SAML Anda. Tetapkan nilai setiap atribut khusus ke atribut pengguna yang sesuai yang ditentukan oleh penyedia identitas SAML Anda (misalnya, Okta).

Atribut khusus	Contoh (Okta)
first_name	user.firstName
last_name	user.lastName
email	user.email

Berikut ini cara mengonfigurasi atribut pengguna khusus dan atribut NameID menggunakan Okta sebagai penyedia identitas SAML pihak ketiga.

Menggunakan domain kustom dengan penyedia identitas SAML

Setelah mengonfigurasi dan mengaktifkan penyedia identitas SAML, Anda dapat mengonfigurasi domain kustom (seperti, developers.example.com), seperti yang dijelaskan dalam Menyesuaikan domain.

Penting untuk menjaga agar setelan konfigurasi tetap sinkron antara domain kustom dan penyedia identitas SAML. Jika setelan konfigurasi tidak sinkron, Anda mungkin mengalami masalah selama otorisasi. Misalnya, permintaan otorisasi yang dikirim ke penyedia identitas SAML mungkin memiliki AssertionConsumerServiceURL yang tidak ditentukan menggunakan domain kustom.

Untuk menjaga agar setelan konfigurasi tetap sinkron antara domain kustom dan penyedia identitas SAML:

• Jika Anda mengonfigurasi atau memperbarui domain kustom setelah mengaktifkan dan mengonfigurasi penyedia identitas SAML, simpan konfigurasi domain kustom tersebut dan pastikan konfigurasi tersebut diaktifkan. Tunggu sekitar 30 menit hingga cache tidak valid, lalu konfigurasi ulang penyedia identitas SAML menggunakan informasi yang diperbarui di file metadata penyedia layanan (SP), seperti yang dijelaskan di Mengonfigurasi setelan SAML. Anda akan melihat domain kustom di Metadata SP.

• Jika mengonfigurasi domain kustom sebelum mengonfigurasi dan mengaktifkan penyedia identitas SAML, Anda harus mereset domain kustom (dijelaskan di bawah) untuk memastikan bahwa penyedia identitas SAML dikonfigurasi dengan benar.

• Jika perlu mereset (menonaktifkan dan mengaktifkan kembali) penyedia identitas SAML, seperti yang dijelaskan dalam Mengaktifkan penyedia identitas SAML, Anda juga harus Mereset domain kustom (dijelaskan di bawah).

Mereset domain kustom

Untuk mereset (menonaktifkan dan mengaktifkan) domain kustom:

1. Pilih Publikasikan > Portal di navigasi sebelah kiri, lalu pilih portal Anda.
2. Pilih Setelan di menu drop-down pada menu navigasi atas atau di halaman landing.
3. Klik tab Domains.
4. Klik Disable untuk menonaktifkan domain kustom.
5. Klik Aktifkan untuk mengaktifkan kembali domain kustom.

Untuk informasi selengkapnya, lihat Menyesuaikan domain.

Upload sertifikat baru

Untuk mengupload sertifikat baru:

1. Download sertifikat dari penyedia identitas SAML Anda.
   

2. Akses halaman Penyedia Identitas SAML.

3. Klik baris zona identitas tempat Anda ingin mengupload sertifikat baru.

4. Di bagian Certificate, klik .

5. Klik Browse, lalu buka sertifikat di direktori lokal Anda.

6. Klik Buka untuk mengupload sertifikat baru.
   Kolom Informasi sertifikat diperbarui untuk mencerminkan sertifikat yang dipilih.
   

7. Verifikasikan bahwa sertifikat valid dan belum habis masa berlakunya.

8. Klik Simpan.

Mengonversi sertifikat x509 ke format PEM

Jika mendownload sertifikat x509, Anda harus mengonversinya ke format PEM.

Untuk mengonversi sertifikat x509 ke format PEM:

1. Salin konten ds:X509Certificate element dari file metadata penyedia identitas SAML dan tempelkan ke editor teks favorit Anda.
2. Tambahkan baris berikut di bagian atas file:
   -----BEGIN CERTIFICATE-----
3. Tambahkan baris berikut di bagian bawah file:
   -----END CERTIFICATE-----
4. Simpan file menggunakan ekstensi .pem.

Berikut adalah contoh konten file PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----