Skonfiguruj dostawcę tożsamości

Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje

W przypadku zintegrowanych portali możesz zdefiniować dostawców tożsamości do obsługi typów uwierzytelniania zdefiniowanych w poniższej tabeli.

Typ uwierzytelniania	Opis
Wbudowana	Ta funkcja wymaga od użytkowników, aby w celu uwierzytelnienia przekazali swoje dane logowania (nazwę użytkownika i hasło) do zintegrowanego portalu.Gdy tworzysz nowy portal, wbudowany dostawca tożsamości jest konfigurowany i włączony. Aby dowiedzieć się, jak wygląda logowanie z perspektywy użytkownika, przeczytaj sekcję Logowanie się w portalu przy użyciu danych logowania użytkownika (wbudowany dostawca).
SAML (beta)	Język SAML (Security assertion Markup Language) to standardowy protokół środowiska logowania jednokrotnego. Uwierzytelnianie logowania jednokrotnego przy użyciu SAML umożliwia użytkownikom logowanie się w portalach zintegrowanych z Apigee Edge bez konieczności tworzenia nowych kont. Użytkownicy logują się za pomocą danych logowania na centralnie zarządzane konta. Aby dowiedzieć się więcej o logowaniu się z perspektywy użytkownika, zobacz Logowanie się w portalu przy użyciu SAML.

Zalety uwierzytelniania SAML w przypadku zintegrowanych portali

Skonfigurowanie SAML jako dostawcy tożsamości dla zintegrowanego portalu daje te korzyści:

• Skonfiguruj program dla deweloperów i używaj go wielokrotnie w wielu zintegrowanych portalach. Podczas tworzenia zintegrowanego portalu wybierz program dla programistów. Możesz łatwo aktualizować lub zmieniać program dla deweloperów w miarę ewoluowania wymagań.
• Przejmij pełną kontrolę nad zarządzaniem użytkownikami
  Połącz firmowy serwer SAML ze zintegrowanym portalem. Gdy użytkownicy opuszczą organizację i zostaną centralnie wyrejestrowane, nie będą już mogli uwierzytelnić się w usłudze logowania jednokrotnego w celu korzystania ze zintegrowanego portalu.

Skonfiguruj wbudowanego dostawcę tożsamości

Skonfiguruj wbudowanego dostawcę tożsamości w sposób opisany w sekcjach poniżej.

Otwieranie strony wbudowanego dostawcy tożsamości

Aby uzyskać dostęp do wbudowanego dostawcy tożsamości:

1. Aby wyświetlić listę portali, na bocznym pasku nawigacyjnym wybierz Opublikuj > Portale.
2. Kliknij wiersz portalu, z którego chcesz wyświetlić zespoły.
3. Kliknij Konta na stronie docelowej portalu. Możesz też wybrać Konta w menu portalu na górnym pasku nawigacyjnym.
4. Kliknij kartę Uwierzytelnianie.
5. W sekcji Dostawcy tożsamości kliknij typ dostawcy Wbudowany.
   
6. Skonfiguruj wbudowanego dostawcę tożsamości, wykonując te czynności:
   • Włączanie wbudowanego dostawcy tożsamości
   • Ograniczanie rejestracji w portalu na podstawie adresu e-mail lub domeny
   • Konfigurowanie powiadomień e-mail

Włącz wbudowanego dostawcę tożsamości

Aby włączyć wbudowanego dostawcy tożsamości:

1. Otwórz stronę wbudowanego dostawcy tożsamości.
2. Kliknij w sekcji Konfiguracja dostawcy.

3. Zaznacz pole Włączone, aby włączyć dostawcę tożsamości.
   

   Aby wyłączyć wbudowanego dostawcę tożsamości, odznacz to pole.

4. Kliknij Zapisz.

Ogranicz rejestrację portalu na podstawie adresu e-mail lub domeny

Ogranicz rejestrację w portalu, identyfikując poszczególne adresy e-mail (developer@some-company.com) lub domeny e-mail (some-company.com, bez początkowego @), które mogą tworzyć konta w portalu.

Aby dopasować wszystkie zagnieżdżone subdomeny, przed domeną lub subdomeną dodaj ciąg z symbolem wieloznacznym *.. Na przykład *.example.com będzie pasować do test@example.com, test@dev.example.com itd.

Jeśli pozostawisz to pole puste, do zarejestrowania się w portalu będzie można użyć dowolnego adresu e-mail.

Aby ograniczyć rejestrację w portalu na podstawie adresu e-mail lub domeny:

1. Otwórz stronę wbudowanego dostawcy tożsamości.
2. Kliknij w sekcji Konfiguracja dostawcy.
3. W sekcji Ograniczenia dotyczące konta wpisz w polu tekstowym adres e-mail lub domenę e-mail, której chcesz zezwolić na rejestrowanie i logowanie się w portalu, a następnie kliknij +.
4. W razie potrzeby dodaj kolejne wpisy.
5. Aby usunąć wpis, kliknij obok niego x.
6. Kliknij Zapisz.

Konfigurowanie e-maili z powiadomieniami

W przypadku wbudowanego dostawcy możesz włączyć i skonfigurować te powiadomienia e-mail:

Powiadomienie e-mail	Odbiorca	Aktywator	Opis
Powiadamianie dotyczące konta	Dostawca interfejsu API	Użytkownik portalu tworzy nowe konto	Jeśli Twój portal został skonfigurowany w taki sposób, aby wymagał ręcznej aktywacji kont użytkowników, musisz ręcznie aktywować konto użytkownika, aby użytkownik mógł się zalogować.
Weryfikacja konta	Użytkownik portalu	Użytkownik portalu tworzy nowe konto	Zawiera bezpieczny link umożliwiający weryfikację utworzenia konta. Link wygaśnie za 10 minut.

Podczas konfigurowania powiadomień e-mail:

• Do formatowania tekstu używaj tagów HTML. Pamiętaj, aby wysłać testową wiadomość e-mail, aby sprawdzić, czy formatowanie wygląda zgodnie z oczekiwaniami.

• Możesz wstawić jedną lub więcej zmiennych, które będą zastępowane po wysłaniu e-maila z powiadomieniem.

  Zmienna	Opis
  {{firstName}}	Imię
  {{lastName}}	Nazwisko
  {{email}}	adres e-mail,
  {{siteurl}}	Link do aktywnego portalu
  {{verifylink}}	Link do weryfikacji konta

Aby skonfigurować powiadomienia e-mail:

1. Otwórz stronę wbudowanego dostawcy tożsamości.

2. Aby skonfigurować powiadomienia e-mail wysyłane na adres:

   • Dostawcy interfejsów API na potrzeby aktywacji nowego konta dewelopera, kliknij w sekcji Powiadomienie o koncie.
   • Aby zweryfikować tożsamość użytkowników portalu, kliknij w sekcji Weryfikacja konta.

3. Zmodyfikuj pola Temat i Treść.

4. Kliknij Wyślij testowego e-maila, aby wysłać na swój adres e-mail testowy.

5. Kliknij Zapisz.

Skonfiguruj dostawcę tożsamości SAML (beta)

Skonfiguruj dostawcę tożsamości SAML w sposób opisany w poniższych sekcjach.

Otwieranie strony dostawcy tożsamości SAML

Aby uzyskać dostęp do dostawcy tożsamości SAML:

1. Aby wyświetlić listę portali, na bocznym pasku nawigacyjnym wybierz Opublikuj > Portale.
2. Kliknij wiersz portalu, z którego chcesz wyświetlić zespoły.
3. Kliknij Konta na stronie docelowej portalu. Możesz też wybrać Konta w menu portalu na górnym pasku nawigacyjnym.
4. Kliknij kartę Uwierzytelnianie.
5. W sekcji Identity Providers (Dostawcy tożsamości) kliknij typ dostawcy SAML.
   

6. Skonfiguruj dostawcę tożsamości SAML w sposób opisany w tych sekcjach:

   • Włączanie dostawcy tożsamości SAML
   • Konfigurowanie ustawień SAML
   • Konfigurowanie niestandardowych atrybutów użytkownika na potrzeby dostawcy tożsamości SAML
   • Prześlij nowy certyfikat

Włączanie dostawcy tożsamości SAML

Aby włączyć dostawcę tożsamości SAML:

1. Otwórz stronę dostawcy tożsamości SAML.
2. Kliknij w sekcji Konfiguracja dostawcy.

3. Zaznacz pole Włączone, aby włączyć dostawcę tożsamości.

   

   Aby wyłączyć dostawcę tożsamości SAML, odznacz to pole.

4. Kliknij Zapisz.

5. Jeśli masz skonfigurowaną domenę niestandardową, przeczytaj artykuł Używanie domeny niestandardowej z dostawcą tożsamości SAML.

Konfigurowanie ustawień SAML

Aby skonfigurować ustawienia SAML:

1. Otwórz stronę dostawcy tożsamości SAML.
2. W sekcji SAML Settings (Ustawienia SAML) kliknij .

3. Kliknij Kopiuj obok adresu URL metadanych dostawcy usług.
   

4. Skonfiguruj dostawcę tożsamości SAML przy użyciu informacji z pliku metadanych dostawcy usług.

   W przypadku niektórych dostawców tożsamości SAML może się pojawić tylko prośba o podanie adresu URL metadanych. W innych przypadkach musisz wyodrębnić określone informacje z pliku metadanych i wpisać je w formularzu.
   
   W drugim przypadku wklej adres URL w przeglądarce, aby pobrać plik metadanych dostawcy usług i wyodrębnić wymagane informacje. Na przykład identyfikator jednostki lub adres URL logowania można wyodrębnić z następujących elementów w pliku metadanych dostawcy usług:

   • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
   • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

5. Skonfiguruj ustawienia SAML dla dostawcy tożsamości.

   W sekcji SAML Settings (Ustawienia SAML) zmodyfikuj te wartości otrzymane z pliku metadanych dostawcy tożsamości SAML:

   Ustawienie SAML	Opis
   Adres URL logowania	Adres URL, na który użytkownicy są przekierowywani do logowania się u dostawcy tożsamości SAML. Na przykład: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
   URL strony wylogowania	Adres URL, pod który użytkownicy są przekierowywani do wylogowania się z dostawcy tożsamości SAML. Pozostaw to pole puste, jeśli: Dostawca tożsamości SAML nie udostępnia adresu URL wylogowania Nie chcesz, aby użytkownicy wylogowywali się z dostawcy tożsamości SAML, gdy wylogują się ze zintegrowanego portalu. Chcesz włączyć domenę niestandardową (zapoznaj się ze znanym problemem).
   Identyfikator jednostki dostawcy tożsamości	Unikalny identyfikator dostawcy tożsamości SAML. Na przykład: http://www.okta.com/exkhgdyponHIp97po0h7

6. Kliknij Zapisz.

Skonfiguruj niestandardowe atrybuty użytkownika dla dostawcy tożsamości SAML

Aby zapewnić prawidłowe mapowanie dostawcy tożsamości SAML na konta programistów w portalu, zalecamy utworzenie i skonfigurowanie niestandardowych atrybutów użytkownika zdefiniowanych w poniższej tabeli dla dostawcy tożsamości SAML. Ustaw wartość każdego atrybutu niestandardowego na odpowiedni atrybut użytkownika zdefiniowany przez dostawcę tożsamości SAML (np. Okta).

Atrybut niestandardowy	Przykład (Okta)
first_name	user.firstName
last_name	user.lastName
email	user.email

Poniżej pokazujemy, jak skonfigurować niestandardowe atrybuty użytkownika i atrybut NameID przy użyciu Okta jako zewnętrznego dostawcy tożsamości SAML.

Używanie domeny niestandardowej z dostawcą tożsamości SAML

Po skonfigurowaniu i włączeniu dostawcy tożsamości SAML możesz skonfigurować domenę niestandardową (na przykład developers.example.com) zgodnie z opisem w artykule Dostosowywanie domeny.

Ważne jest, aby ustawienia konfiguracji były synchronizowane między domeną niestandardową a dostawcą tożsamości SAML. Jeśli ustawienia konfiguracji nie są zsynchronizowane, podczas autoryzacji mogą wystąpić problemy. Na przykład żądanie autoryzacji wysłane do dostawcy tożsamości SAML może zawierać parametr AssertionConsumerServiceURL, który nie jest zdefiniowany przy użyciu domeny niestandardowej.

Aby synchronizować ustawienia konfiguracji między domeną niestandardową a dostawcą tożsamości SAML:

• Jeśli skonfigurujesz lub zaktualizujesz domenę niestandardową po włączeniu i skonfigurowaniu dostawcy tożsamości SAML, zapisz konfigurację domeny niestandardowej i upewnij się, że jest włączona. Zaczekaj około 30 minut, aż pamięć podręczna zostanie unieważniona, a następnie ponownie skonfiguruj dostawcę tożsamości SAML przy użyciu zaktualizowanych informacji z pliku metadanych dostawcy usług zgodnie z opisem w artykule Konfigurowanie ustawień SAML. Domena niestandardowa powinna się pojawić w metadanych dostawcy usług.

• Jeśli skonfigurujesz domenę niestandardową, zanim skonfigurujesz i włączysz dostawcę tożsamości SAML, musisz zresetować domenę niestandardową (zgodnie z opisem poniżej), aby upewnić się, że dostawca tożsamości SAML jest prawidłowo skonfigurowany.

• Jeśli musisz zresetować (wyłączyć i ponownie włączyć) dostawcę tożsamości SAML zgodnie z opisem w sekcji Włączanie dostawcy tożsamości SAML, musisz też zresetować domenę niestandardową (zgodnie z opisem poniżej).

Resetowanie domeny niestandardowej

Aby zresetować (wyłączyć i włączyć) domenę niestandardową:

1. W menu nawigacyjnym po lewej stronie kliknij Publish > Portals (Opublikuj > Portale) i wybierz swój portal.
2. W menu na górnym pasku nawigacyjnym lub na stronie docelowej kliknij Ustawienia.
3. Kliknij kartę Domains (Domeny).
4. Aby wyłączyć domenę niestandardową, kliknij Wyłącz.
5. Kliknij Włącz, aby ponownie włączyć domenę niestandardową.

Więcej informacji znajdziesz w artykule Dostosowywanie domeny.

Prześlij nowy certyfikat

Aby przesłać nowy certyfikat:

1. Pobierz certyfikat od dostawcy tożsamości SAML.
   

2. Otwórz stronę dostawcy tożsamości SAML.

3. Kliknij wiersz strefy tożsamości, do której chcesz przesłać nowy certyfikat.

4. W sekcji Certyfikat kliknij .

5. Kliknij Przeglądaj i przejdź do certyfikatu w katalogu lokalnym.

6. Kliknij Otwórz, aby przesłać nowy certyfikat.
   Pola z informacjami o certyfikacie zostaną zaktualizowane, aby odzwierciedlały wybrany certyfikat.
   

7. Sprawdź, czy certyfikat jest ważny i nie utracił ważności.

8. Kliknij Zapisz.

Konwertowanie certyfikatu x509 na format PEM

Jeśli pobierzesz certyfikat x509, musisz przekonwertować go na format PEM.

Aby przekonwertować certyfikat x509 na format PEM:

1. Skopiuj zawartość pola ds:X509Certificate element z pliku metadanych dostawcy tożsamości SAML i wklej ją w ulubionym edytorze tekstu.
2. Na początku pliku dodaj ten wiersz:
   -----BEGIN CERTIFICATE-----
3. Na dole pliku dodaj ten wiersz:
   -----END CERTIFICATE-----
4. Zapisz plik za pomocą rozszerzenia .pem.

Poniżej znajdziesz przykład zawartości pliku PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----