Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
W przypadku zintegrowanych portali możesz zdefiniować dostawców tożsamości do obsługi typów uwierzytelniania zdefiniowanych w poniższej tabeli.
Typ uwierzytelniania | Opis |
---|---|
Wbudowana | Ta funkcja wymaga od użytkowników, aby w celu uwierzytelnienia przekazali swoje dane logowania (nazwę użytkownika i hasło) do zintegrowanego portalu.Gdy tworzysz nowy portal, wbudowany dostawca tożsamości jest konfigurowany i włączony. Aby dowiedzieć się, jak wygląda logowanie z perspektywy użytkownika, przeczytaj sekcję Logowanie się w portalu przy użyciu danych logowania użytkownika (wbudowany dostawca). |
SAML (beta) | Język SAML (Security assertion Markup Language) to standardowy protokół środowiska logowania jednokrotnego. Uwierzytelnianie logowania jednokrotnego przy użyciu SAML umożliwia użytkownikom logowanie się w portalach zintegrowanych z Apigee Edge bez konieczności tworzenia nowych kont. Użytkownicy logują się za pomocą danych logowania na centralnie zarządzane konta. Aby dowiedzieć się więcej o logowaniu się z perspektywy użytkownika, zobacz Logowanie się w portalu przy użyciu SAML. |
Zalety uwierzytelniania SAML w przypadku zintegrowanych portali
Skonfigurowanie SAML jako dostawcy tożsamości dla zintegrowanego portalu daje te korzyści:
- Skonfiguruj program dla deweloperów i używaj go wielokrotnie w wielu zintegrowanych portalach. Podczas tworzenia zintegrowanego portalu wybierz program dla programistów. Możesz łatwo aktualizować lub zmieniać program dla deweloperów w miarę ewoluowania wymagań.
- Przejmij pełną kontrolę nad zarządzaniem użytkownikami
Połącz firmowy serwer SAML ze zintegrowanym portalem. Gdy użytkownicy opuszczą organizację i zostaną centralnie wyrejestrowane, nie będą już mogli uwierzytelnić się w usłudze logowania jednokrotnego w celu korzystania ze zintegrowanego portalu.
Skonfiguruj wbudowanego dostawcę tożsamości
Skonfiguruj wbudowanego dostawcę tożsamości w sposób opisany w sekcjach poniżej.
Otwieranie strony wbudowanego dostawcy tożsamości
Aby uzyskać dostęp do wbudowanego dostawcy tożsamości:
- Aby wyświetlić listę portali, na bocznym pasku nawigacyjnym wybierz Opublikuj > Portale.
- Kliknij wiersz portalu, z którego chcesz wyświetlić zespoły.
- Kliknij Konta na stronie docelowej portalu. Możesz też wybrać Konta w menu portalu na górnym pasku nawigacyjnym.
- Kliknij kartę Uwierzytelnianie.
- W sekcji Dostawcy tożsamości kliknij typ dostawcy Wbudowany.
- Skonfiguruj wbudowanego dostawcę tożsamości, wykonując te czynności:
Włącz wbudowanego dostawcę tożsamości
Aby włączyć wbudowanego dostawcy tożsamości:
- Otwórz stronę wbudowanego dostawcy tożsamości.
- Kliknij w sekcji Konfiguracja dostawcy.
Zaznacz pole Włączone, aby włączyć dostawcę tożsamości.
Aby wyłączyć wbudowanego dostawcę tożsamości, odznacz to pole.
Kliknij Zapisz.
Ogranicz rejestrację portalu na podstawie adresu e-mail lub domeny
Ogranicz rejestrację w portalu, identyfikując poszczególne adresy e-mail (developer@some-company.com
) lub domeny e-mail (some-company.com
, bez początkowego @
), które mogą tworzyć konta w portalu.
Aby dopasować wszystkie zagnieżdżone subdomeny, przed domeną lub subdomeną dodaj ciąg z symbolem wieloznacznym *.
. Na przykład *.example.com
będzie pasować do test@example.com
, test@dev.example.com
itd.
Jeśli pozostawisz to pole puste, do zarejestrowania się w portalu będzie można użyć dowolnego adresu e-mail.
Aby ograniczyć rejestrację w portalu na podstawie adresu e-mail lub domeny:
- Otwórz stronę wbudowanego dostawcy tożsamości.
- Kliknij w sekcji Konfiguracja dostawcy.
- W sekcji Ograniczenia dotyczące konta wpisz w polu tekstowym adres e-mail lub domenę e-mail, której chcesz zezwolić na rejestrowanie i logowanie się w portalu, a następnie kliknij +.
- W razie potrzeby dodaj kolejne wpisy.
- Aby usunąć wpis, kliknij obok niego x.
- Kliknij Zapisz.
Konfigurowanie e-maili z powiadomieniami
W przypadku wbudowanego dostawcy możesz włączyć i skonfigurować te powiadomienia e-mail:
Powiadomienie e-mail | Odbiorca | Aktywator | Opis |
---|---|---|---|
Powiadamianie dotyczące konta | Dostawca interfejsu API | Użytkownik portalu tworzy nowe konto | Jeśli Twój portal został skonfigurowany w taki sposób, aby wymagał ręcznej aktywacji kont użytkowników, musisz ręcznie aktywować konto użytkownika, aby użytkownik mógł się zalogować. |
Weryfikacja konta | Użytkownik portalu | Użytkownik portalu tworzy nowe konto | Zawiera bezpieczny link umożliwiający weryfikację utworzenia konta. Link wygaśnie za 10 minut. |
Podczas konfigurowania powiadomień e-mail:
- Do formatowania tekstu używaj tagów HTML. Pamiętaj, aby wysłać testową wiadomość e-mail, aby sprawdzić, czy formatowanie wygląda zgodnie z oczekiwaniami.
Możesz wstawić jedną lub więcej zmiennych, które będą zastępowane po wysłaniu e-maila z powiadomieniem.
Zmienna Opis {
{firstName}
}
Imię {
{lastName}
}
Nazwisko {
{email}
}
adres e-mail, {
{siteurl}
}
Link do aktywnego portalu {
{verifylink}
}
Link do weryfikacji konta
Aby skonfigurować powiadomienia e-mail:
- Otwórz stronę wbudowanego dostawcy tożsamości.
Aby skonfigurować powiadomienia e-mail wysyłane na adres:
- Dostawcy interfejsów API na potrzeby aktywacji nowego konta dewelopera, kliknij w sekcji Powiadomienie o koncie.
- Aby zweryfikować tożsamość użytkowników portalu, kliknij w sekcji Weryfikacja konta.
Zmodyfikuj pola Temat i Treść.
Kliknij Wyślij testowego e-maila, aby wysłać na swój adres e-mail testowy.
Kliknij Zapisz.
Skonfiguruj dostawcę tożsamości SAML (beta)
Skonfiguruj dostawcę tożsamości SAML w sposób opisany w poniższych sekcjach.
Otwieranie strony dostawcy tożsamości SAML
Aby uzyskać dostęp do dostawcy tożsamości SAML:
- Aby wyświetlić listę portali, na bocznym pasku nawigacyjnym wybierz Opublikuj > Portale.
- Kliknij wiersz portalu, z którego chcesz wyświetlić zespoły.
- Kliknij Konta na stronie docelowej portalu. Możesz też wybrać Konta w menu portalu na górnym pasku nawigacyjnym.
- Kliknij kartę Uwierzytelnianie.
- W sekcji Identity Providers (Dostawcy tożsamości) kliknij typ dostawcy SAML.
Skonfiguruj dostawcę tożsamości SAML w sposób opisany w tych sekcjach:
Włączanie dostawcy tożsamości SAML
Aby włączyć dostawcę tożsamości SAML:
- Otwórz stronę dostawcy tożsamości SAML.
- Kliknij w sekcji Konfiguracja dostawcy.
Zaznacz pole Włączone, aby włączyć dostawcę tożsamości.
Aby wyłączyć dostawcę tożsamości SAML, odznacz to pole.
Kliknij Zapisz.
Jeśli masz skonfigurowaną domenę niestandardową, przeczytaj artykuł Używanie domeny niestandardowej z dostawcą tożsamości SAML.
Konfigurowanie ustawień SAML
Aby skonfigurować ustawienia SAML:
- Otwórz stronę dostawcy tożsamości SAML.
- W sekcji SAML Settings (Ustawienia SAML) kliknij .
Kliknij Kopiuj obok adresu URL metadanych dostawcy usług.
Skonfiguruj dostawcę tożsamości SAML przy użyciu informacji z pliku metadanych dostawcy usług.
W przypadku niektórych dostawców tożsamości SAML może się pojawić tylko prośba o podanie adresu URL metadanych. W innych przypadkach musisz wyodrębnić określone informacje z pliku metadanych i wpisać je w formularzu.
W drugim przypadku wklej adres URL w przeglądarce, aby pobrać plik metadanych dostawcy usług i wyodrębnić wymagane informacje. Na przykład identyfikator jednostki lub adres URL logowania można wyodrębnić z następujących elementów w pliku metadanych dostawcy usług:<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
Skonfiguruj ustawienia SAML dla dostawcy tożsamości.
W sekcji SAML Settings (Ustawienia SAML) zmodyfikuj te wartości otrzymane z pliku metadanych dostawcy tożsamości SAML:
Ustawienie SAML Opis Adres URL logowania Adres URL, na który użytkownicy są przekierowywani do logowania się u dostawcy tożsamości SAML.
Na przykład:https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
URL strony wylogowania Adres URL, pod który użytkownicy są przekierowywani do wylogowania się z dostawcy tożsamości SAML. Pozostaw to pole puste, jeśli:
- Dostawca tożsamości SAML nie udostępnia adresu URL wylogowania
- Nie chcesz, aby użytkownicy wylogowywali się z dostawcy tożsamości SAML, gdy wylogują się ze zintegrowanego portalu.
- Chcesz włączyć domenę niestandardową (zapoznaj się ze znanym problemem).
Identyfikator jednostki dostawcy tożsamości Unikalny identyfikator dostawcy tożsamości SAML.
Na przykład:http://www.okta.com/exkhgdyponHIp97po0h7
Kliknij Zapisz.
Skonfiguruj niestandardowe atrybuty użytkownika dla dostawcy tożsamości SAML
Aby zapewnić prawidłowe mapowanie dostawcy tożsamości SAML na konta programistów w portalu, zalecamy utworzenie i skonfigurowanie niestandardowych atrybutów użytkownika zdefiniowanych w poniższej tabeli dla dostawcy tożsamości SAML. Ustaw wartość każdego atrybutu niestandardowego na odpowiedni atrybut użytkownika zdefiniowany przez dostawcę tożsamości SAML (np. Okta).
Atrybut niestandardowy | Przykład (Okta) |
---|---|
first_name |
user.firstName |
last_name |
user.lastName |
email |
user.email |
Poniżej pokazujemy, jak skonfigurować niestandardowe atrybuty użytkownika i atrybut NameID
przy użyciu Okta jako zewnętrznego dostawcy tożsamości SAML.
Używanie domeny niestandardowej z dostawcą tożsamości SAML
Po skonfigurowaniu i włączeniu dostawcy tożsamości SAML możesz skonfigurować domenę niestandardową (na przykład developers.example.com
) zgodnie z opisem w artykule Dostosowywanie domeny.
Ważne jest, aby ustawienia konfiguracji były synchronizowane między domeną niestandardową a dostawcą tożsamości SAML. Jeśli ustawienia konfiguracji nie są zsynchronizowane, podczas autoryzacji mogą wystąpić problemy. Na przykład żądanie autoryzacji wysłane do dostawcy tożsamości SAML może zawierać parametr AssertionConsumerServiceURL
, który nie jest zdefiniowany przy użyciu domeny niestandardowej.
Aby synchronizować ustawienia konfiguracji między domeną niestandardową a dostawcą tożsamości SAML:
Jeśli skonfigurujesz lub zaktualizujesz domenę niestandardową po włączeniu i skonfigurowaniu dostawcy tożsamości SAML, zapisz konfigurację domeny niestandardowej i upewnij się, że jest włączona. Zaczekaj około 30 minut, aż pamięć podręczna zostanie unieważniona, a następnie ponownie skonfiguruj dostawcę tożsamości SAML przy użyciu zaktualizowanych informacji z pliku metadanych dostawcy usług zgodnie z opisem w artykule Konfigurowanie ustawień SAML. Domena niestandardowa powinna się pojawić w metadanych dostawcy usług.
Jeśli skonfigurujesz domenę niestandardową, zanim skonfigurujesz i włączysz dostawcę tożsamości SAML, musisz zresetować domenę niestandardową (zgodnie z opisem poniżej), aby upewnić się, że dostawca tożsamości SAML jest prawidłowo skonfigurowany.
Jeśli musisz zresetować (wyłączyć i ponownie włączyć) dostawcę tożsamości SAML zgodnie z opisem w sekcji Włączanie dostawcy tożsamości SAML, musisz też zresetować domenę niestandardową (zgodnie z opisem poniżej).
Resetowanie domeny niestandardowej
Aby zresetować (wyłączyć i włączyć) domenę niestandardową:
- W menu nawigacyjnym po lewej stronie kliknij Publish > Portals (Opublikuj > Portale) i wybierz swój portal.
- W menu na górnym pasku nawigacyjnym lub na stronie docelowej kliknij Ustawienia.
- Kliknij kartę Domains (Domeny).
- Aby wyłączyć domenę niestandardową, kliknij Wyłącz.
- Kliknij Włącz, aby ponownie włączyć domenę niestandardową.
Więcej informacji znajdziesz w artykule Dostosowywanie domeny.
Prześlij nowy certyfikat
Aby przesłać nowy certyfikat:
Pobierz certyfikat od dostawcy tożsamości SAML.
Kliknij wiersz strefy tożsamości, do której chcesz przesłać nowy certyfikat.
W sekcji Certyfikat kliknij .
Kliknij Przeglądaj i przejdź do certyfikatu w katalogu lokalnym.
Kliknij Otwórz, aby przesłać nowy certyfikat.
Pola z informacjami o certyfikacie zostaną zaktualizowane, aby odzwierciedlały wybrany certyfikat.
Sprawdź, czy certyfikat jest ważny i nie utracił ważności.
Kliknij Zapisz.
Konwertowanie certyfikatu x509 na format PEM
Jeśli pobierzesz certyfikat x509, musisz przekonwertować go na format PEM.
Aby przekonwertować certyfikat x509 na format PEM:
- Skopiuj zawartość pola
ds:X509Certificate element
z pliku metadanych dostawcy tożsamości SAML i wklej ją w ulubionym edytorze tekstu. - Na początku pliku dodaj ten wiersz:
-----BEGIN CERTIFICATE-----
- Na dole pliku dodaj ten wiersz:
-----END CERTIFICATE-----
- Zapisz plik za pomocą rozszerzenia
.pem
.
Poniżej znajdziesz przykład zawartości pliku PEM:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----