กำหนดค่าผู้ให้บริการข้อมูลประจำตัว

คุณกำลังดูเอกสารประกอบ Apigee Edge
ไปที่ เอกสารประกอบเกี่ยวกับ Apigee X. ข้อมูล

สำหรับพอร์ทัลที่ผสานรวม คุณสามารถกำหนดผู้ให้บริการข้อมูลประจำตัวเพื่อรองรับประเภทการตรวจสอบสิทธิ์ที่กำหนดไว้ในตารางต่อไปนี้

ประเภทการตรวจสอบสิทธิ์ คำอธิบาย
ในตัว

กำหนดให้ผู้ใช้ส่งข้อมูลเข้าสู่ระบบ (ชื่อผู้ใช้และรหัสผ่าน) ไปยังพอร์ทัลที่ผสานรวมเพื่อการตรวจสอบสิทธิ์เมื่อสร้างพอร์ทัลใหม่ ระบบจะกำหนดค่าและเปิดใช้ผู้ให้บริการข้อมูลประจำตัวในตัว

หากต้องการทำความเข้าใจประสบการณ์ในการลงชื่อเข้าใช้จากมุมมองของผู้ใช้ โปรดดูหัวข้อลงชื่อเข้าใช้พอร์ทัลโดยใช้ข้อมูลเข้าสู่ระบบของผู้ใช้ (ผู้ให้บริการในตัว)
SAML (เบต้า)

ภาษามาร์กอัปการยืนยันความปลอดภัย (SAML) เป็นโปรโตคอลมาตรฐานสำหรับสภาพแวดล้อมการลงชื่อเพียงครั้งเดียว (SSO) การตรวจสอบสิทธิ์ SSO โดยใช้ SAML ช่วยให้ผู้ใช้เข้าสู่ระบบพอร์ทัลที่ผสานรวม Apigee Edge ได้โดยไม่ต้องสร้างบัญชีใหม่ ผู้ใช้จะเข้าสู่ระบบโดยใช้ข้อมูลเข้าสู่ระบบของบัญชีที่จัดการจากส่วนกลาง

โปรดดูลงชื่อเข้าใช้พอร์ทัลโดยใช้ SAML เพื่อทำความเข้าใจประสบการณ์ในการลงชื่อเข้าใช้จากมุมมองของผู้ใช้

ประโยชน์ของการตรวจสอบสิทธิ์ SAML สำหรับพอร์ทัลที่ผสานรวม

การกำหนดค่า SAML เป็นผู้ให้บริการข้อมูลประจำตัวสำหรับพอร์ทัลที่ผสานรวมมีประโยชน์ดังนี้

  • ตั้งค่าโปรแกรมนักพัฒนาซอฟต์แวร์เพียงครั้งเดียวและนำไปใช้ซ้ำในพอร์ทัลที่ผสานรวมหลายแห่ง เลือกโปรแกรมนักพัฒนาซอฟต์แวร์เมื่อสร้างพอร์ทัลผสานรวม อัปเดตหรือเปลี่ยนแปลงโปรแกรมนักพัฒนาแอปได้ง่ายๆ เมื่อข้อกำหนดเปลี่ยนแปลงไป
  • ควบคุมการจัดการผู้ใช้ได้เต็มที่
    เชื่อมต่อเซิร์ฟเวอร์ SAML ของบริษัทกับพอร์ทัลที่ผสานรวม เมื่อผู้ใช้ออกจากองค์กรและถูกยกเลิกการจัดสรรจากส่วนกลาง ผู้ใช้จะไม่สามารถตรวจสอบสิทธิ์กับบริการ SSO ของคุณเพื่อที่จะใช้พอร์ทัลแบบผสานรวมได้อีกต่อไป

กำหนดค่าผู้ให้บริการข้อมูลประจำตัวในตัว

กำหนดค่าผู้ให้บริการข้อมูลประจำตัวในตัวตามที่อธิบายไว้ในส่วนต่อไปนี้

เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวในตัว

วิธีเข้าถึงผู้ให้บริการข้อมูลประจำตัวในตัว

  1. เลือกเผยแพร่ > พอร์ทัลในแถบนำทางด้านข้างเพื่อแสดงรายการพอร์ทัล
  2. คลิกแถวของพอร์ทัลที่ต้องการดูทีม
  3. คลิกบัญชีในหน้า Landing Page ของพอร์ทัล หรืออาจเลือกบัญชีในเมนูแบบเลื่อนลงของพอร์ทัลในแถบนำทางด้านบนก็ได้
  4. คลิกแท็บ Authentication
  5. ในส่วนผู้ให้บริการข้อมูลประจำตัว ให้คลิกประเภทผู้ให้บริการในตัว
  6. กำหนดค่าผู้ให้บริการข้อมูลประจำตัวในตัวตามที่อธิบายในส่วนต่อไปนี้

เปิดใช้ผู้ให้บริการข้อมูลประจำตัวในตัว

วิธีเปิดใช้ผู้ให้บริการข้อมูลประจำตัวในตัว

  1. เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวในตัว
  2. คลิก ในส่วน Provider Configuration

  3. เลือกช่องทำเครื่องหมายเปิดใช้เพื่อเปิดใช้ผู้ให้บริการข้อมูลประจำตัว

    หากต้องการปิดใช้ผู้ให้บริการข้อมูลประจำตัวในตัว ให้ยกเลิกการเลือกช่องทำเครื่องหมาย

  4. คลิกบันทึก

จำกัดการลงทะเบียนพอร์ทัลตามอีเมลหรือโดเมน

จำกัดการลงทะเบียนพอร์ทัลด้วยการระบุอีเมลแต่ละรายการ (developer@some-company.com) หรือโดเมนอีเมล (some-company.com โดยไม่มี @ นําหน้า) ที่สามารถสร้างบัญชีในพอร์ทัลของคุณได้

หากต้องการจับคู่โดเมนย่อยที่ซ้อนกันทั้งหมด ให้ใส่สตริงไวลด์การ์ด *. ไว้ข้างหน้าโดเมนหรือโดเมนย่อย เช่น *.example.com จะตรงกับ test@example.com, test@dev.example.com และอื่นๆ

หากเว้นว่างไว้ คุณจะใช้อีเมลใดก็ได้ในการลงทะเบียนในพอร์ทัล

หากต้องการจำกัดการลงทะเบียนพอร์ทัลตามอีเมลหรือโดเมน ให้ทำดังนี้

  1. เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวในตัว
  2. คลิก ในส่วน Provider Configuration
  3. ในส่วนการจำกัดบัญชี ให้ป้อนที่อยู่อีเมลหรือโดเมนอีเมลที่คุณต้องการอนุญาตให้ลงทะเบียน และลงชื่อเข้าใช้พอร์ทัลในกล่องข้อความและคลิก +
  4. เพิ่มรายการเพิ่มเติมตามความจำเป็น
  5. หากต้องการลบรายการ ให้คลิก x ที่อยู่ติดกับรายการ
  6. คลิกบันทึก

กำหนดค่าการแจ้งเตือนทางอีเมล

สำหรับผู้ให้บริการภายใน คุณจะเปิดใช้และกำหนดค่าการแจ้งเตือนทางอีเมลต่อไปนี้ได้

การแจ้งเตือนทางอีเมล ผู้รับ ทริกเกอร์ คำอธิบาย
การแจ้งเตือนเกี่ยวกับบัญชีผู้ให้บริการ APIผู้ใช้พอร์ทัลสร้างบัญชีใหม่หากคุณกำหนดค่าพอร์ทัลให้กำหนดให้เปิดใช้งานบัญชีผู้ใช้ด้วยตนเอง คุณจะต้องเปิดใช้งานบัญชีผู้ใช้ด้วยตนเองก่อน ผู้ใช้พอร์ทัลจะลงชื่อเข้าใช้ได้
ยืนยันบัญชีผู้ใช้พอร์ทัลผู้ใช้พอร์ทัลสร้างบัญชีใหม่ระบุลิงก์ที่ปลอดภัยเพื่อยืนยันการสร้างบัญชี ลิงก์จะหมดอายุใน 10 นาที

เมื่อกำหนดค่าการแจ้งเตือนทางอีเมล ให้ทำดังนี้

  • ใช้แท็ก HTML เพื่อจัดรูปแบบข้อความ โปรดอย่าลืมส่งอีเมลทดสอบเพื่อตรวจสอบว่าการจัดรูปแบบปรากฏตามที่คาดไว้

  • คุณสามารถแทรกตัวแปรต่อไปนี้อย่างน้อย 1 รายการ ซึ่งจะถูกแทนที่เมื่อมีการส่งการแจ้งเตือนทางอีเมล

    ตัวแปร คำอธิบาย
    {{firstName}} ชื่อ
    {{lastName}} นามสกุล
    {{email}} อีเมล
    {{siteurl}} ลิงก์ไปยังพอร์ทัลแบบสด
    {{verifylink}} ลิงก์ที่ใช้ในการยืนยันบัญชี

วิธีกำหนดค่าการแจ้งเตือนทางอีเมล

  1. เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวในตัว

  2. วิธีกำหนดค่าการแจ้งเตือนทางอีเมลที่ส่งไปยัง

    • ผู้ให้บริการ API สำหรับการเปิดใช้งานบัญชีนักพัฒนาแอปใหม่ ให้คลิก ในส่วนแจ้งเตือนบัญชี
    • ให้ผู้ใช้พอร์ทัลยืนยันตัวตน ให้คลิก ในส่วนยืนยันบัญชี

  3. แก้ไขช่องเรื่องและเนื้อหา

  4. คลิกส่งอีเมลทดสอบเพื่อส่งอีเมลทดสอบไปยังอีเมลของคุณ

  5. คลิกบันทึก

กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML (เบต้า)

กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ดังที่อธิบายไว้ในส่วนต่อไปนี้

เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวของ SAML

วิธีเข้าถึงผู้ให้บริการข้อมูลประจำตัว SAML

  1. เลือกเผยแพร่ > พอร์ทัลในแถบนำทางด้านข้างเพื่อแสดงรายการพอร์ทัล
  2. คลิกแถวของพอร์ทัลที่ต้องการดูทีม
  3. คลิกบัญชีในหน้า Landing Page ของพอร์ทัล หรืออาจเลือกบัญชีในเมนูแบบเลื่อนลงของพอร์ทัลในแถบนำทางด้านบนก็ได้
  4. คลิกแท็บ Authentication
  5. คลิกประเภทผู้ให้บริการ SAML ในส่วน Identity provider

  6. กําหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ตามที่อธิบายไว้ในส่วนต่อไปนี้

เปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML

วิธีเปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML

  1. เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวของ SAML
  2. คลิก ในส่วน Provider Configuration

  3. เลือกช่องทำเครื่องหมายเปิดใช้เพื่อเปิดใช้ผู้ให้บริการข้อมูลประจำตัว

    หากต้องการปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML ให้ยกเลิกการเลือกช่องทำเครื่องหมาย

  4. คลิกบันทึก

  5. ถ้าคุณกำหนดค่าโดเมนที่กำหนดเอง โปรดดูที่ใช้โดเมนที่กำหนดเองกับผู้ให้บริการข้อมูลประจำตัว SAML

กำหนดการตั้งค่า SAML

วิธีกำหนดการตั้งค่า SAML

  1. เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวของ SAML
  2. คลิก ในส่วน SAML Settings

  3. คลิกคัดลอกข้าง URL ข้อมูลเมตา SP

  4. กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML โดยใช้ข้อมูลในไฟล์ข้อมูลเมตาของผู้ให้บริการ (SP)

    สำหรับผู้ให้บริการข้อมูลประจำตัว SAML บางราย คุณจะได้รับการแจ้งเตือนสำหรับ URL ของข้อมูลเมตาเท่านั้น แต่สำหรับแพลตฟอร์มอื่นๆ คุณจะต้องดึงข้อมูลที่เจาะจงจากไฟล์ข้อมูลเมตาแล้วป้อนลงในแบบฟอร์ม

    ในกรณีหลัง ให้วาง URL ลงในเบราว์เซอร์เพื่อดาวน์โหลดไฟล์ข้อมูลเมตา SP แล้วดึงข้อมูลที่จำเป็น ตัวอย่างเช่น รหัสเอนทิตีหรือ URL การลงชื่อเข้าใช้จะดึงจากองค์ประกอบต่อไปนี้ในไฟล์ข้อมูลเมตา SP ได้

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

  5. กำหนดการตั้งค่า SAML สำหรับผู้ให้บริการข้อมูลประจำตัว

    ในส่วนการตั้งค่า SAML ให้แก้ไขค่าที่ได้รับจากไฟล์ข้อมูลเมตาผู้ให้บริการข้อมูลประจำตัว SAML ดังต่อไปนี้

    การตั้งค่า SAMLคำอธิบาย
    URL สำหรับลงชื่อเข้าใช้URL ที่ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปลงชื่อเข้าใช้ในระบบผู้ให้บริการข้อมูลประจำตัว SAML
    ตัวอย่างเช่น https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL สำหรับออกจากระบบURL ที่ระบบจะเปลี่ยนเส้นทางให้ผู้ใช้ไปออกจากระบบของผู้ให้บริการข้อมูลประจำตัว SAML

    เว้นช่องนี้ว่างไว้ในกรณีต่อไปนี้

    • ผู้ให้บริการข้อมูลประจำตัว SAML ไม่ให้ URL สำหรับออกจากระบบ
    • คุณไม่ต้องการให้ผู้ใช้ออกจากระบบผู้ให้บริการข้อมูลประจำตัว SAML เมื่อผู้ใช้ออกจากระบบพอร์ทัลที่ผสานรวม
    • คุณต้องการเปิดใช้โดเมนที่กำหนดเอง (ดูปัญหาที่ทราบ)
    รหัสเอนทิตีของ IDPรหัสที่ไม่ซ้ำกันสำหรับผู้ให้บริการข้อมูลประจำตัว SAML
    ตัวอย่างเช่น http://www.okta.com/exkhgdyponHIp97po0h7

  6. คลิกบันทึก

กำหนดค่าแอตทริบิวต์ผู้ใช้ที่กำหนดเองสำหรับผู้ให้บริการข้อมูลประจำตัว SAML

เราขอแนะนำให้สร้างและกำหนดค่าแอตทริบิวต์ผู้ใช้ที่กำหนดเองซึ่งกำหนดในตารางต่อไปนี้สำหรับผู้ให้บริการข้อมูลประจำตัว SAML เพื่อให้จับคู่ผู้ให้บริการข้อมูลประจำตัว SAML กับบัญชีนักพัฒนาแอปพอร์ทัลได้อย่างถูกต้อง ตั้งค่าของแอตทริบิวต์ที่กำหนดเองแต่ละรายการเป็นแอตทริบิวต์ผู้ใช้ที่เกี่ยวข้องซึ่งผู้ให้บริการข้อมูลประจำตัว SAML กำหนด (เช่น Okta)

แอตทริบิวต์ที่กำหนดเอง ตัวอย่าง (Okta)
first_name user.firstName
last_name user.lastName
email user.email

ข้อมูลต่อไปนี้แสดงวิธีกำหนดค่าแอตทริบิวต์ผู้ใช้ที่กำหนดเองและแอตทริบิวต์ NameID โดยใช้ Okta เป็นผู้ให้บริการข้อมูลประจำตัว SAML บุคคลที่สาม

ใช้โดเมนที่กำหนดเองกับผู้ให้บริการข้อมูลประจำตัว SAML

หลังจากที่คุณกำหนดค่าและเปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML คุณสามารถกำหนดค่าโดเมนที่กำหนดเอง (เช่น developers.example.com) ได้ตามที่อธิบายไว้ในปรับแต่งโดเมนของคุณ

คุณควรซิงค์การตั้งค่าการกำหนดค่าระหว่างโดเมนที่กำหนดเองกับผู้ให้บริการข้อมูลประจำตัว SAML อยู่เสมอ หากการกำหนดค่าไม่ซิงค์กัน คุณอาจพบปัญหาในระหว่างการให้สิทธิ์ ตัวอย่างเช่น คำขอการให้สิทธิ์ที่ส่งไปยังผู้ให้บริการข้อมูลประจำตัว SAML อาจมี AssertionConsumerServiceURL ที่ไม่ได้กำหนดโดยใช้โดเมนที่กำหนดเอง

หากต้องการซิงค์การตั้งค่าการกำหนดค่าระหว่างโดเมนที่กำหนดเองและผู้ให้บริการข้อมูลประจำตัว SAML ให้ทำดังนี้

  • หากคุณกำหนดค่าหรืออัปเดตโดเมนที่กำหนดเองหลังจากเปิดใช้และกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ให้บันทึกการกำหนดค่าโดเมนที่กำหนดเองและตรวจสอบว่าเปิดใช้อยู่ รอประมาณ 30 นาทีเพื่อให้แคชหมดอายุ จากนั้นกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML อีกครั้งโดยใช้ข้อมูลที่อัปเดตในไฟล์ข้อมูลเมตาของผู้ให้บริการ (SP) ตามที่อธิบายไว้ในกำหนดการตั้งค่า SAML คุณควรจะเห็นโดเมนที่กำหนดเองของคุณในข้อมูลเมตา SP

  • หากคุณกำหนดค่าโดเมนที่กำหนดเองก่อนกำหนดค่าและเปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML คุณต้องรีเซ็ตโดเมนที่กำหนดเอง (ตามที่อธิบายไว้ด้านล่าง) เพื่อให้แน่ใจว่ามีการกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ไว้อย่างถูกต้อง

  • หากจำเป็นต้องรีเซ็ต (ปิดใช้และเปิดใช้อีกครั้ง) ผู้ให้บริการข้อมูลประจำตัว SAML ตามที่อธิบายไว้ในหัวข้อเปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML คุณต้อง รีเซ็ตโดเมนที่กำหนดเอง (ตามที่อธิบายไว้ด้านล่าง)

รีเซ็ตโดเมนที่กำหนดเอง

หากต้องการรีเซ็ต (ปิดใช้และเปิดใช้) โดเมนที่กำหนดเอง ให้ทำดังนี้

  1. เลือกเผยแพร่ > พอร์ทัลในการนําทางด้านซ้ายและเลือกพอร์ทัลของคุณ
  2. เลือกการตั้งค่าในเมนูแบบเลื่อนลงในแถบนำทางด้านบนหรือในหน้า Landing Page
  3. คลิกแท็บ Domains
  4. คลิกปิดใช้เพื่อปิดใช้โดเมนที่กำหนดเอง
  5. คลิกเปิดใช้เพื่อเปิดใช้โดเมนที่กำหนดเองอีกครั้ง

โปรดดูข้อมูลเพิ่มเติมในปรับแต่งโดเมน

อัปโหลดใบรับรองใหม่

หากต้องการอัปโหลดใบรับรองใหม่ ให้ทำดังนี้

  1. ดาวน์โหลดใบรับรองจากผู้ให้บริการข้อมูลประจำตัว SAML

  2. เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวของ SAML

  3. คลิกแถวของโซนข้อมูลประจำตัวที่คุณต้องการอัปโหลดใบรับรองใหม่

  4. คลิก ในส่วนใบรับรอง

  5. คลิก Browse และไปยังใบรับรองในไดเรกทอรีในเครื่องของคุณ

  6. คลิกเปิดเพื่ออัปโหลดใบรับรองใหม่
    ระบบจะอัปเดตช่องข้อมูลใบรับรองเพื่อแสดงใบรับรองที่เลือก

  7. ตรวจสอบว่าใบรับรองถูกต้องและยังไม่หมดอายุ

  8. คลิกบันทึก

แปลงใบรับรอง x509 เป็นรูปแบบ PEM

หากดาวน์โหลดใบรับรอง x509 คุณจะต้องแปลงเป็นรูปแบบ PEM

วิธีแปลงใบรับรอง x509 เป็นรูปแบบ PEM

  1. คัดลอกเนื้อหาของ ds:X509Certificate element จากไฟล์ข้อมูลเมตาผู้ให้บริการข้อมูลประจำตัว SAML แล้ววางในเครื่องมือแก้ไขข้อความที่ต้องการ
  2. เพิ่มบรรทัดต่อไปนี้ที่ด้านบนของไฟล์:
    วันที่ -----BEGIN CERTIFICATE-----
  3. เพิ่มบรรทัดต่อไปนี้ที่ด้านล่างของไฟล์
    วันที่ -----END CERTIFICATE-----
  4. บันทึกไฟล์โดยใช้นามสกุล .pem

ตัวอย่างเนื้อหาไฟล์ PEM มีดังนี้

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----