Configura il provider di identità

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X.
informazioni

Per i portali integrati, puoi definire provider di identità che supportino i tipi di autenticazione definiti nella tabella seguente.

Tipo di autenticazione Descrizione

Richiede agli utenti di passare le proprie credenziali (nome utente e password) al portale integrato per l'autenticazione.Quando crei un nuovo portale, il provider di identità integrato viene configurato e abilitato.

Per comprendere l'esperienza di accesso dal punto di vista dell'utente, vedi Accedere al portale utilizzando le credenziali utente (provider integrato).

SAML (beta)

SAML (Security Assuntion Markup Language) è un protocollo standard per l'ambiente Single Sign-On (SSO). L'autenticazione SSO tramite SAML consente agli utenti di accedere ai portali integrati Apigee Edge senza dover creare nuovi account. Gli utenti accedono utilizzando le credenziali del proprio account gestito centralmente.

Per comprendere l'esperienza di accesso dal punto di vista dell'utente, vedi Accedere al portale utilizzando SAML.

Vantaggi dell'autenticazione SAML per i portali integrati

La configurazione di SAML come provider di identità per un portale integrato offre i seguenti vantaggi:

  • Configura il tuo programma per sviluppatori una sola volta e riutilizzalo su più portali integrati. Scegli il tuo programma per sviluppatori durante la creazione del portale integrato. Aggiorna o modifica facilmente il programma per sviluppatori di pari passo con l'evolversi dei requisiti.
  • Assumi il pieno controllo della gestione degli utenti
    Connetti il server SAML della tua azienda al portale integrato. Quando gli utenti lasciano l'organizzazione e ne viene eseguito il deprovisioning a livello centrale, non saranno più in grado di eseguire l'autenticazione con il servizio SSO per utilizzare il portale integrato.

Configura il provider di identità integrato

Configura il provider di identità integrato come descritto nelle sezioni seguenti.

Accedi alla pagina del provider di identità integrato

Per accedere al provider di identità integrato:

  1. Seleziona Pubblica > Portali nella barra di navigazione laterale per visualizzare l'elenco dei portali.
  2. Fai clic sulla riga del portale di cui vuoi visualizzare i team.
  3. Fai clic su Account nella pagina di destinazione del portale. In alternativa, puoi selezionare Account nel menu a discesa del portale nella barra di navigazione in alto.
  4. Fai clic sulla scheda Autenticazione.
  5. Nella sezione Provider di identità, fai clic sul tipo di provider integrato.
  6. Configura il provider di identità integrato come descritto nelle seguenti sezioni:

Abilita il provider di identità integrato

Per abilitare il provider di identità integrato:

  1. Accedi alla pagina del provider di identità integrato.
  2. Fai clic su nella sezione Configurazione provider.
  3. Seleziona la casella di controllo Attivato per attivare il provider di identità.

    Per disattivare il provider di identità integrato, deseleziona la casella di controllo.

  4. Fai clic su Salva.

Limita la registrazione del portale in base all'indirizzo email o al dominio

Limita la registrazione al portale identificando i singoli indirizzi email (developer@some-company.com) o domini email (some-company.com, senza il @ principale) che possono creare account sul portale.

Per trovare la corrispondenza di tutti i sottodomini nidificati, anteponi la stringa con caratteri jolly *. a un dominio o sottodominio. Ad esempio, *.example.com corrisponderà a test@example.com, test@dev.example.com e così via.

Se lasciato vuoto, qualsiasi indirizzo email può essere utilizzato per la registrazione sul portale.

Per limitare la registrazione al portale in base all'indirizzo email o al dominio:

  1. Accedi alla pagina del provider di identità integrato.
  2. Fai clic su nella sezione Configurazione provider.
  3. Nella sezione Restrizioni account, inserisci un indirizzo email o un dominio email a cui vuoi consentire la registrazione e accedi al portale nella casella di testo, quindi fai clic su +.
  4. Aggiungi altre voci, se necessario.
  5. Per eliminare una voce, fai clic sulla x accanto alla voce.
  6. Fai clic su Salva.

Configurazione delle notifiche via email

Per il provider integrato, puoi attivare e configurare le seguenti notifiche email:

Notifica email Destinatario Trigger Descrizione
Notifica relativa all'accountprovider APIL'utente del portale crea un nuovo accountSe hai configurato il portale in modo che richieda l'attivazione manuale degli account utente, devi attivare manualmente l'account utente prima che l'utente del portale possa accedere.
Verifica accountUtente del portaleL'utente del portale crea un nuovo accountFornisce un link sicuro per verificare la creazione dell'account. Il link scade dopo 10 minuti.

Quando configuri le notifiche via email:

  • Utilizza tag HTML per formattare il testo. Assicurati di inviare un'email di prova per verificare che la formattazione venga visualizzata come previsto.
  • È possibile inserire una o più delle seguenti variabili che verranno sostituite all'invio della notifica via email.

    Variabile Descrizione
    {{firstName}} Nome
    {{lastName}} Cognome
    {{email}} Indirizzo email
    {{siteurl}} Link al portale live
    {{verifylink}} Link utilizzato per la verifica dell'account

Per configurare le notifiche via email:

  1. Accedi alla pagina del provider di identità integrato.
  2. Per configurare le notifiche email inviate a:

    • Fornitori di API per l'attivazione di un nuovo account sviluppatore, fai clic su nella sezione Notifica sull'account.
    • Per verificare la propria identità, fai clic su nella sezione Verifica account degli utenti del portale.
  3. Modifica i campi Oggetto e Corpo.

  4. Fai clic su Send Test Email (Invia email di prova) per inviare un'email di prova al tuo indirizzo email.

  5. Fai clic su Salva.

Configurare il provider di identità SAML (beta)

Configura il provider di identità SAML come descritto nelle sezioni seguenti.

Accedi alla pagina del provider di identità SAML

Per accedere al provider di identità SAML:

  1. Seleziona Pubblica > Portali nella barra di navigazione laterale per visualizzare l'elenco dei portali.
  2. Fai clic sulla riga del portale di cui vuoi visualizzare i team.
  3. Fai clic su Account nella pagina di destinazione del portale. In alternativa, puoi selezionare Account nel menu a discesa del portale nella barra di navigazione in alto.
  4. Fai clic sulla scheda Autenticazione.
  5. Nella sezione Identity provider (Provider di identità), fai clic sul tipo di provider SAML.
  6. Configura il provider di identità SAML come descritto nelle sezioni seguenti:

Abilita il provider di identità SAML

Per attivare il provider di identità SAML:

  1. Accedi alla pagina del provider di identità SAML.
  2. Fai clic su nella sezione Configurazione provider.
  3. Seleziona la casella di controllo Attivato per attivare il provider di identità.

    Per disabilitare il provider di identità SAML, deseleziona la casella di controllo.

  4. Fai clic su Salva.

  5. Se hai configurato un dominio personalizzato, vedi Utilizzare un dominio personalizzato con il provider di identità SAML.

Configura le impostazioni SAML

Per configurare le impostazioni SAML:

  1. Accedi alla pagina del provider di identità SAML.
  2. Nella sezione SAML Settings (Impostazioni SAML), fai clic su .
  3. Fai clic su Copia accanto a URL metadati SP.

  4. Configura il tuo provider di identità SAML utilizzando le informazioni contenute nel file di metadati del fornitore di servizi (SP).

    Per alcuni provider di identità SAML, ti verrà richiesto solo l'URL dei metadati. Per altri casi, dovrai estrarre informazioni specifiche dal file di metadati e inserirle in un modulo.

    In quest'ultimo caso, incolla l'URL in un browser per scaricare il file di metadati SP ed estrarre le informazioni richieste. Ad esempio, l'ID entità o l'URL di accesso possono essere estratti dai seguenti elementi nel file di metadati SP:

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
  5. Configura le impostazioni SAML per il provider di identità.

    Nella sezione Impostazioni SAML, modifica i seguenti valori ottenuti dal file dei metadati del provider di identità SAML:

    Impostazione SAMLDescrizione
    URL di accessoURL a cui gli utenti vengono reindirizzati per accedere al provider di identità SAML.
    Ad esempio: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL di uscitaURL a cui gli utenti vengono reindirizzati per uscire dal provider di identità SAML.

    Lascia vuoto questo campo se:

    • Il tuo provider di identità SAML non fornisce un URL di disconnessione
    • Non vuoi che gli utenti escano dal tuo provider di identità SAML quando escono dal portale integrato
    • Vuoi attivare un dominio personalizzato (consulta il problema noto)
    ID entità IdPID univoco per il provider di identità SAML.
    Ad esempio: http://www.okta.com/exkhgdyponHIp97po0h7
  6. Fai clic su Salva.

Configura gli attributi utente personalizzati per il provider di identità SAML

Per garantire una corretta mappatura tra il provider di identità SAML e gli account sviluppatore del portale, ti consigliamo di creare e configurare gli attributi utente personalizzati definiti nella tabella seguente per il tuo provider di identità SAML. Imposta il valore di ogni attributo personalizzato sull'attributo utente corrispondente definito dal tuo provider di identità SAML (ad esempio Okta).

Attributo personalizzato Esempio (Okta)
first_name user.firstName
last_name user.lastName
email user.email

Di seguito viene mostrato come configurare gli attributi utente personalizzati e l'attributo NameID utilizzando Okta come provider di identità SAML di terze parti.

Utilizza un dominio personalizzato con il provider di identità SAML

Dopo aver configurato e attivato il provider di identità SAML, puoi configurare un dominio personalizzato (ad esempio developers.example.com), come descritto in Personalizzare il dominio.

È importante mantenere sincronizzate le impostazioni di configurazione tra il dominio personalizzato e il provider di identità SAML. Se le impostazioni di configurazione non sono sincronizzate, potresti riscontrare problemi durante l'autorizzazione. Ad esempio, la richiesta di autorizzazione inviata al provider di identità SAML potrebbe avere un AssertionConsumerServiceURL non definito dal dominio personalizzato.

Per mantenere sincronizzate le impostazioni di configurazione tra il dominio personalizzato e il provider di identità SAML:

  • Se configuri o aggiorni il dominio personalizzato dopo aver attivato e configurato il provider di identità SAML, salva la configurazione del dominio personalizzato e assicurati che sia attivata. Attendi circa 30 minuti perché la cache non sia più valida, quindi riconfigura il provider di identità SAML utilizzando le informazioni aggiornate nel file di metadati del fornitore di servizi (SP), come descritto in Configurare le impostazioni SAML. Il dominio personalizzato deve essere visualizzato nei metadati SP.

  • Se configuri un dominio personalizzato prima di configurare e attivare il provider di identità SAML, devi reimpostare il dominio personalizzato (descritto di seguito) per assicurarti che il provider di identità SAML sia configurato correttamente.

  • Se devi reimpostare (disattivare e riattivare) il provider di identità SAML, come descritto in Attivare il provider di identità SAML, devi anche reimpostare il dominio personalizzato (descritto di seguito).

Reimposta il dominio personalizzato

Per reimpostare (disattivare e attivare) il dominio personalizzato:

  1. Seleziona Pubblica > Portali nel riquadro di navigazione a sinistra, quindi seleziona il tuo portale.
  2. Seleziona Impostazioni nel menu a discesa della barra di navigazione in alto o nella pagina di destinazione.
  3. Fai clic sulla scheda Domini.
  4. Fai clic su Disabilita per disattivare il dominio personalizzato.
  5. Fai clic su Attiva per riattivare il dominio personalizzato.

Per ulteriori informazioni, vedi Personalizzare il dominio.

Carica un nuovo certificato

Per caricare un nuovo certificato:

  1. Scarica il certificato dal tuo provider di identità SAML.

  2. Accedi alla pagina del provider di identità SAML.

  3. Fai clic sulla riga della zona di identità per la quale vuoi caricare un nuovo certificato.

  4. Nella sezione Certificato, fai clic su .

  5. Fai clic su Sfoglia e vai al certificato nella directory locale.

  6. Fai clic su Apri per caricare il nuovo certificato.
    I campi Informazioni sul certificato vengono aggiornati in modo da riflettere il certificato selezionato.

  7. Verifica che il certificato sia valido e che non sia scaduto.

  8. Fai clic su Salva.

Converti un certificato x509 in formato PEM

Se scarichi un certificato x509, devi convertirlo in formato PEM.

Per convertire un certificato x509 in formato PEM:

  1. Copia i contenuti di ds:X509Certificate element dal file di metadati del provider di identità SAML e incollali nel tuo editor di testo preferito.
  2. Aggiungi la seguente riga nella parte superiore del file:
    -----BEGIN CERTIFICATE-----
  3. Aggiungi la seguente riga in fondo al file:
    -----END CERTIFICATE-----
  4. Salva il file utilizzando un'estensione .pem.

Di seguito è riportato un esempio dei contenuti del file PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----