คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล
สำหรับพอร์ทัลที่ผสานรวม คุณสามารถกำหนดผู้ให้บริการข้อมูลประจำตัวเพื่อรองรับประเภทการตรวจสอบสิทธิ์ที่ระบุในตารางต่อไปนี้
ประเภทการตรวจสอบสิทธิ์ | คำอธิบาย |
---|---|
ในตัว | กำหนดให้ผู้ใช้ส่งข้อมูลเข้าสู่ระบบ (ชื่อผู้ใช้และรหัสผ่าน) ไปยังพอร์ทัลที่ผสานรวมเพื่อการตรวจสอบสิทธิ์เมื่อคุณสร้างพอร์ทัลใหม่ จะมีการกำหนดค่าและเปิดใช้ผู้ให้บริการข้อมูลประจำตัวในตัว หากต้องการทำความเข้าใจเกี่ยวกับการลงชื่อเข้าใช้จากมุมมองของผู้ใช้ โปรดดูหัวข้อลงชื่อเข้าใช้พอร์ทัลโดยใช้ข้อมูลเข้าสู่ระบบของผู้ใช้ (ผู้ให้บริการในตัว) |
SAML (เบต้า) | ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) เป็นโปรโตคอลมาตรฐานสำหรับสภาพแวดล้อมการลงชื่อเพียงครั้งเดียว (SSO) การตรวจสอบสิทธิ์ SSO โดยใช้ SAML ช่วยให้ผู้ใช้เข้าสู่ระบบพอร์ทัลที่ผสานรวม Apigee Edge ของคุณได้โดยไม่ต้องสร้างบัญชีใหม่ ผู้ใช้เข้าสู่ระบบโดยใช้ข้อมูลเข้าสู่ระบบบัญชีที่มีการจัดการจากส่วนกลาง โปรดดูลงชื่อเข้าใช้พอร์ทัลโดยใช้ SAML เพื่อทำความเข้าใจประสบการณ์การลงชื่อเข้าใช้จากมุมมองของผู้ใช้ |
ประโยชน์ของการตรวจสอบสิทธิ์ SAML สำหรับพอร์ทัลที่ผสานรวม
การกำหนดค่า SAML เป็นผู้ให้บริการข้อมูลประจำตัวสำหรับพอร์ทัลที่ผสานรวมมีข้อดีดังนี้
- ตั้งค่าโปรแกรมนักพัฒนาซอฟต์แวร์เพียงครั้งเดียวและนำไปใช้ซ้ำในพอร์ทัลที่ผสานรวมหลายรายการ เลือกโปรแกรมนักพัฒนาซอฟต์แวร์เมื่อสร้างพอร์ทัลที่ผสานรวม อัปเดตหรือเปลี่ยนโปรแกรมสำหรับนักพัฒนาแอปได้ง่ายๆ เมื่อข้อกำหนดมีการเปลี่ยนแปลง
- ควบคุมการจัดการผู้ใช้ได้อย่างเต็มที่
เชื่อมต่อเซิร์ฟเวอร์ SAML ของบริษัทกับพอร์ทัลที่ผสานรวม เมื่อผู้ใช้ออกจากองค์กรและถูกยกเลิกการจัดสรรจากส่วนกลาง ผู้ใช้ดังกล่าวจะไม่สามารถตรวจสอบสิทธิ์กับบริการ SSO ของคุณเพื่อใช้พอร์ทัลที่ผสานรวมได้อีกต่อไป
กำหนดค่าผู้ให้บริการข้อมูลประจำตัวในตัว
กำหนดค่าผู้ให้บริการข้อมูลประจำตัวในตัวตามที่อธิบายไว้ในส่วนต่อไปนี้
เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวในตัว
วิธีเข้าถึงผู้ให้บริการข้อมูลประจำตัวในตัว
- เลือกเผยแพร่ > พอร์ทัลในแถบนำทางด้านข้างเพื่อแสดงรายการพอร์ทัล
- คลิกแถวของพอร์ทัลที่ต้องการดูทีม
- คลิกบัญชีในหน้า Landing Page ของพอร์ทัล หรือจะเลือกบัญชีในรายการแบบเลื่อนลงของพอร์ทัลในแถบนำทางด้านบนก็ได้
- คลิกแท็บการตรวจสอบสิทธิ์
- ในส่วนผู้ให้บริการข้อมูลประจำตัว ให้คลิกประเภทผู้ให้บริการในตัว
- กำหนดค่าผู้ให้บริการข้อมูลประจำตัวในตัว ตามที่อธิบายไว้ในส่วนต่อไปนี้
เปิดใช้ผู้ให้บริการข้อมูลประจำตัวในตัว
วิธีเปิดใช้ผู้ให้บริการข้อมูลประจำตัวในตัว
- เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวในตัว
- คลิก ในส่วน Provider Configuration
เลือกช่องทำเครื่องหมายเปิดใช้เพื่อเปิดใช้ผู้ให้บริการข้อมูลประจำตัว
หากต้องการปิดใช้งานผู้ให้บริการข้อมูลประจำตัวในตัว ให้ยกเลิกการเลือกช่องทำเครื่องหมาย
คลิกบันทึก
จำกัดการลงทะเบียนพอร์ทัลด้วยอีเมลหรือโดเมน
จำกัดการลงทะเบียนพอร์ทัลด้วยการระบุอีเมลแต่ละรายการ (developer@some-company.com
) หรือโดเมนอีเมล (some-company.com
โดยไม่มี @
นำหน้า) ที่สามารถสร้างบัญชีในพอร์ทัลของคุณได้
ในการจับคู่โดเมนย่อยที่ซ้อนกันทั้งหมด ให้เพิ่มสตริงไวลด์การ์ด *.
ไว้หน้าโดเมนหรือโดเมนย่อย เช่น *.example.com
จะจับคู่ test@example.com
, test@dev.example.com
และอื่นๆ
หากเว้นว่างไว้ คุณจะใช้อีเมลใดก็ได้เพื่อลงทะเบียนในพอร์ทัล
หากต้องการจำกัดการลงทะเบียนพอร์ทัลตามอีเมลหรือโดเมน ให้ทำดังนี้
- เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวในตัว
- คลิก ในส่วน Provider Configuration
- ในส่วนข้อจำกัดบัญชี ให้ป้อนอีเมลหรือโดเมนอีเมลที่คุณต้องการอนุญาตให้ลงทะเบียนและลงชื่อเข้าใช้พอร์ทัลในกล่องข้อความ แล้วคลิก +
- เพิ่มรายการเพิ่มเติมตามต้องการ
- หากต้องการลบรายการ ให้คลิก x ที่อยู่ถัดจากรายการนั้น
- คลิกบันทึก
กำหนดค่าการแจ้งเตือนทางอีเมล
สำหรับผู้ให้บริการในตัว คุณสามารถเปิดใช้และกำหนดค่าการแจ้งเตือนทางอีเมลต่อไปนี้ได้
การแจ้งเตือนทางอีเมล | ผู้รับ | ทริกเกอร์ | คำอธิบาย |
---|---|---|---|
แจ้งเตือนเกี่ยวกับบัญชี | ผู้ให้บริการ API | ผู้ใช้พอร์ทัลสร้างบัญชีใหม่ | หากกำหนดค่าพอร์ทัลให้กำหนดให้เปิดใช้งานบัญชีผู้ใช้ด้วยตนเอง คุณต้องเปิดใช้งานบัญชีผู้ใช้ด้วยตนเองก่อน ผู้ใช้พอร์ทัลจึงจะลงชื่อเข้าใช้ได้ |
การยืนยันบัญชี | ผู้ใช้พอร์ทัล | ผู้ใช้พอร์ทัลสร้างบัญชีใหม่ | ให้ลิงก์ที่ปลอดภัยเพื่อยืนยันการสร้างบัญชี ลิงก์จะหมดอายุใน 10 นาที |
เมื่อกำหนดค่าการแจ้งเตือนทางอีเมล ให้ทำดังนี้
- ใช้แท็ก HTML เพื่อจัดรูปแบบข้อความ โปรดส่งอีเมลทดสอบเพื่อตรวจสอบว่าการจัดรูปแบบปรากฏตามที่คาดไว้
คุณสามารถแทรกตัวแปรต่อไปนี้อย่างน้อย 1 ตัว ซึ่งระบบจะแทนที่เมื่อส่งการแจ้งเตือนทางอีเมล
ตัวแปร คำอธิบาย {
{firstName}
}
ชื่อ {
{lastName}
}
นามสกุล {
{email}
}
อีเมล {
{siteurl}
}
ลิงก์ไปยังพอร์ทัลถ่ายทอดสด {
{verifylink}
}
ลิงก์ที่ใช้ในการยืนยันบัญชี
วิธีกำหนดค่าการแจ้งเตือนทางอีเมล
- เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวในตัว
ในการกำหนดค่าการแจ้งเตือนทางอีเมลที่ส่งไปยัง
- ผู้ให้บริการ API สำหรับการเปิดใช้งานบัญชีนักพัฒนาแอปใหม่ ให้คลิก ในส่วนแจ้งเตือนบัญชี
- ผู้ใช้พอร์ทัลเพื่อยืนยันตัวตน คลิก ในส่วนยืนยันบัญชี
แก้ไขช่องเรื่องและเนื้อหา
คลิกส่งอีเมลทดสอบเพื่อส่งอีเมลทดสอบไปยังอีเมลของคุณ
คลิกบันทึก
กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML (เบต้า)
กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ตามที่อธิบายไว้ในส่วนต่อไปนี้
เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัว SAML
วิธีเข้าถึงผู้ให้บริการข้อมูลประจำตัว SAML
- เลือกเผยแพร่ > พอร์ทัลในแถบนำทางด้านข้างเพื่อแสดงรายการพอร์ทัล
- คลิกแถวของพอร์ทัลที่ต้องการดูทีม
- คลิกบัญชีในหน้า Landing Page ของพอร์ทัล หรือจะเลือกบัญชีในรายการแบบเลื่อนลงของพอร์ทัลในแถบนำทางด้านบนก็ได้
- คลิกแท็บการตรวจสอบสิทธิ์
- ในส่วน Identity provider ให้คลิกประเภทผู้ให้บริการ SAML
กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ตามที่อธิบายไว้ในส่วนต่อไปนี้
เปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML
วิธีเปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML
- เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัว SAML
- คลิก ในส่วน Provider Configuration
เลือกช่องทำเครื่องหมายเปิดใช้เพื่อเปิดใช้ผู้ให้บริการข้อมูลประจำตัว
หากต้องการปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML ให้ยกเลิกการเลือกช่องทำเครื่องหมาย
คลิกบันทึก
หากกำหนดค่าโดเมนที่กำหนดเองแล้ว โปรดดูใช้โดเมนที่กำหนดเองกับผู้ให้บริการข้อมูลประจำตัว SAML
กำหนดการตั้งค่า SAML
วิธีกำหนดการตั้งค่า SAML
- เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัว SAML
- คลิก ในส่วน SAML Settings
คลิกคัดลอกที่อยู่ติดกับ URL ข้อมูลเมตา SP
กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML โดยใช้ข้อมูลในไฟล์ข้อมูลเมตาของผู้ให้บริการ (SP)
สำหรับผู้ให้บริการข้อมูลประจำตัว SAML บางราย คุณจะได้รับข้อความแจ้งให้ระบุ URL ของข้อมูลเมตาเท่านั้น สำหรับระบบอื่นๆ คุณจะต้องดึงข้อมูลที่ต้องการจากไฟล์ข้อมูลเมตาแล้วป้อนลงในแบบฟอร์ม
ในกรณีหลัง ให้วาง URL ลงในเบราว์เซอร์เพื่อดาวน์โหลดไฟล์ข้อมูลเมตา SP และดึงข้อมูลที่จำเป็น เช่น รหัสเอนทิตีหรือ URL การลงชื่อเข้าใช้จะดึงข้อมูลจากองค์ประกอบต่อไปนี้ในไฟล์ข้อมูลเมตา SP ได้<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
กำหนดการตั้งค่า SAML สำหรับผู้ให้บริการข้อมูลประจำตัว
ในส่วน SAML Settings ให้แก้ไขค่าต่อไปนี้ที่ได้รับจากไฟล์ข้อมูลเมตาผู้ให้บริการข้อมูลประจำตัว SAML
การตั้งค่า SAML คำอธิบาย URL สำหรับลงชื่อเข้าใช้ URL ที่ระบบเปลี่ยนเส้นทางผู้ใช้เพื่อให้ลงชื่อเข้าใช้ผู้ให้บริการข้อมูลประจำตัวแบบ SAML
ตัวอย่างเช่นhttps://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
URL สำหรับออกจากระบบ URL ที่ระบบเปลี่ยนเส้นทางผู้ใช้เพื่อให้ออกจากระบบของผู้ให้บริการข้อมูลประจำตัว SAML ปล่อยช่องนี้ไว้ว่างในกรณีต่อไปนี้
- ผู้ให้บริการข้อมูลประจำตัว SAML ของคุณไม่ได้ให้ URL การออกจากระบบ
- คุณไม่ต้องการให้ผู้ใช้ออกจากระบบของผู้ให้บริการข้อมูลประจำตัว SAML เมื่อออกจากระบบพอร์ทัลแบบผสานรวม
- คุณต้องการเปิดใช้โดเมนที่กำหนดเอง (โปรดดูปัญหาที่ทราบ)
รหัสเอนทิตีของ IDP รหัสที่ไม่ซ้ำกันสำหรับผู้ให้บริการข้อมูลประจำตัว SAML
เช่นhttp://www.okta.com/exkhgdyponHIp97po0h7
คลิกบันทึก
กำหนดค่าแอตทริบิวต์ผู้ใช้ที่กำหนดเองสำหรับผู้ให้บริการข้อมูลประจำตัว SAML
เราขอแนะนำให้สร้างและกำหนดค่าแอตทริบิวต์ผู้ใช้ที่กำหนดเองที่กำหนดในตารางต่อไปนี้สำหรับผู้ให้บริการข้อมูลประจำตัว SAML เพื่อให้แน่ใจว่าระบบจะจับคู่ผู้ให้บริการข้อมูลประจำตัว SAML กับบัญชีนักพัฒนาแอปพอร์ทัลได้อย่างถูกต้อง ตั้งค่าของแอตทริบิวต์ที่กำหนดเองแต่ละรายการเป็นแอตทริบิวต์ผู้ใช้ที่เกี่ยวข้องซึ่งผู้ให้บริการข้อมูลประจำตัว SAML กำหนดไว้ (เช่น Okta)
แอตทริบิวต์ที่กำหนดเอง | ตัวอย่าง (Okta) |
---|---|
first_name |
user.firstName |
last_name |
user.lastName |
email |
user.email |
ข้อมูลต่อไปนี้แสดงวิธีกำหนดค่าแอตทริบิวต์ผู้ใช้ที่กำหนดเองและแอตทริบิวต์ NameID
โดยใช้ Okta เป็นผู้ให้บริการข้อมูลประจำตัว SAML บุคคลที่สาม
ใช้โดเมนที่กำหนดเองกับผู้ให้บริการข้อมูลประจำตัว SAML
หลังจากกำหนดค่าและเปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML แล้ว คุณจะกำหนดค่าโดเมนที่กำหนดเอง (เช่น developers.example.com
) ได้ตามที่อธิบายไว้ในปรับแต่งโดเมนของคุณ
สิ่งสำคัญคือต้องซิงค์การตั้งค่าการกำหนดค่าระหว่างโดเมนที่กำหนดเองและผู้ให้บริการข้อมูลประจำตัว SAML ให้ตรงกัน หากการตั้งค่าไม่ซิงค์ คุณอาจพบปัญหาระหว่างการให้สิทธิ์ เช่น คำขอการให้สิทธิ์ที่ส่งไปยังผู้ให้บริการข้อมูลประจำตัว SAML อาจมี AssertionConsumerServiceURL
ที่ไม่ได้กำหนดโดยใช้โดเมนที่กำหนดเอง
หากต้องการซิงค์การตั้งค่าการกำหนดค่าระหว่างโดเมนที่กำหนดเองและผู้ให้บริการข้อมูลประจำตัว SAML ให้ทำดังนี้
ถ้าคุณกำหนดค่าหรืออัปเดตโดเมนที่กำหนดเองหลังจากเปิดใช้และกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ให้บันทึกการกำหนดค่าโดเมนที่กำหนดเองและตรวจสอบว่าเปิดใช้แล้ว รอประมาณ 30 นาทีเพื่อให้แคชยกเลิกการใช้งาน จากนั้นกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML อีกครั้งโดยใช้ข้อมูลที่อัปเดตในไฟล์ข้อมูลเมตาของผู้ให้บริการ (SP) ตามที่อธิบายไว้ในกำหนดการตั้งค่า SAML คุณควรเห็นโดเมนที่กำหนดเองในข้อมูลเมตา SP
หากคุณกำหนดค่าโดเมนที่กำหนดเองก่อนกำหนดค่าและเปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML คุณจะต้องรีเซ็ตโดเมนที่กำหนดเอง (ดังที่อธิบายไว้ด้านล่าง) เพื่อให้กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ได้อย่างถูกต้อง
หากต้องการรีเซ็ต (ปิดใช้และเปิดใช้อีกครั้ง) ผู้ให้บริการข้อมูลประจำตัว SAML ตามที่อธิบายไว้ในเปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML คุณต้องรีเซ็ตโดเมนที่กำหนดเองด้วย (ตามที่อธิบายไว้ด้านล่าง)
รีเซ็ตโดเมนที่กำหนดเอง
หากต้องการรีเซ็ต (ปิดใช้และเปิดใช้) โดเมนที่กำหนดเอง ให้ทำดังนี้
- เลือกเผยแพร่ > พอร์ทัลในการนำทางด้านซ้าย แล้วเลือกพอร์ทัล
- เลือกการตั้งค่าในเมนูแบบเลื่อนลงในแถบนำทางด้านบนหรือในหน้า Landing Page
- คลิกแท็บ โดเมน
- คลิกปิดใช้เพื่อปิดใช้โดเมนที่กำหนดเอง
- คลิกเปิดใช้เพื่อเปิดใช้โดเมนที่กำหนดเองอีกครั้ง
โปรดดูข้อมูลเพิ่มเติมที่หัวข้อปรับแต่งโดเมน
อัปโหลดใบรับรองใหม่
วิธีอัปโหลดใบรับรองใหม่
ดาวน์โหลดใบรับรองจากผู้ให้บริการข้อมูลประจำตัว SAML
คลิกแถวของโซนข้อมูลประจำตัวที่ต้องการอัปโหลดใบรับรองใหม่
คลิก ในส่วนใบรับรอง
คลิกเรียกดูและไปที่ใบรับรองในไดเรกทอรีในเครื่อง
คลิกเปิดเพื่ออัปโหลดใบรับรองใหม่
ระบบจะอัปเดตช่องข้อมูลใบรับรองเพื่อให้สอดคล้องกับใบรับรองที่เลือก
ตรวจสอบว่าใบรับรองถูกต้องและไม่หมดอายุ
คลิกบันทึก
แปลงใบรับรอง x509 เป็นรูปแบบ PEM
หากคุณดาวน์โหลดใบรับรอง x509 คุณต้องแปลงเป็นรูปแบบ PEM
หากต้องการแปลงใบรับรอง x509 เป็นรูปแบบ PEM ให้ทำดังนี้
- คัดลอกเนื้อหาของ
ds:X509Certificate element
จากไฟล์ข้อมูลเมตาของผู้ให้บริการข้อมูลประจำตัว SAML และวางลงในเครื่องมือแก้ไขข้อความที่ต้องการ - เพิ่มบรรทัดต่อไปนี้ที่ด้านบนของไฟล์
-----BEGIN CERTIFICATE-----
- เพิ่มบรรทัดต่อไปนี้ที่ด้านล่างของไฟล์
-----END CERTIFICATE-----
- บันทึกไฟล์โดยใช้ส่วนขยาย
.pem
ตัวอย่างต่อไปนี้คือตัวอย่างเนื้อหาไฟล์ PEM
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----