กำหนดค่าผู้ให้บริการข้อมูลประจำตัว

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล

สำหรับพอร์ทัลที่ผสานรวม คุณสามารถกำหนดผู้ให้บริการข้อมูลประจำตัวเพื่อรองรับประเภทการตรวจสอบสิทธิ์ที่ระบุในตารางต่อไปนี้

ประเภทการตรวจสอบสิทธิ์ คำอธิบาย
ในตัว

กำหนดให้ผู้ใช้ส่งข้อมูลเข้าสู่ระบบ (ชื่อผู้ใช้และรหัสผ่าน) ไปยังพอร์ทัลที่ผสานรวมเพื่อการตรวจสอบสิทธิ์เมื่อคุณสร้างพอร์ทัลใหม่ จะมีการกำหนดค่าและเปิดใช้ผู้ให้บริการข้อมูลประจำตัวในตัว

หากต้องการทำความเข้าใจเกี่ยวกับการลงชื่อเข้าใช้จากมุมมองของผู้ใช้ โปรดดูหัวข้อลงชื่อเข้าใช้พอร์ทัลโดยใช้ข้อมูลเข้าสู่ระบบของผู้ใช้ (ผู้ให้บริการในตัว)
SAML (เบต้า)

ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) เป็นโปรโตคอลมาตรฐานสำหรับสภาพแวดล้อมการลงชื่อเพียงครั้งเดียว (SSO) การตรวจสอบสิทธิ์ SSO โดยใช้ SAML ช่วยให้ผู้ใช้เข้าสู่ระบบพอร์ทัลที่ผสานรวม Apigee Edge ของคุณได้โดยไม่ต้องสร้างบัญชีใหม่ ผู้ใช้เข้าสู่ระบบโดยใช้ข้อมูลเข้าสู่ระบบบัญชีที่มีการจัดการจากส่วนกลาง

โปรดดูลงชื่อเข้าใช้พอร์ทัลโดยใช้ SAML เพื่อทำความเข้าใจประสบการณ์การลงชื่อเข้าใช้จากมุมมองของผู้ใช้

ประโยชน์ของการตรวจสอบสิทธิ์ SAML สำหรับพอร์ทัลที่ผสานรวม

การกำหนดค่า SAML เป็นผู้ให้บริการข้อมูลประจำตัวสำหรับพอร์ทัลที่ผสานรวมมีข้อดีดังนี้

  • ตั้งค่าโปรแกรมนักพัฒนาซอฟต์แวร์เพียงครั้งเดียวและนำไปใช้ซ้ำในพอร์ทัลที่ผสานรวมหลายรายการ เลือกโปรแกรมนักพัฒนาซอฟต์แวร์เมื่อสร้างพอร์ทัลที่ผสานรวม อัปเดตหรือเปลี่ยนโปรแกรมสำหรับนักพัฒนาแอปได้ง่ายๆ เมื่อข้อกำหนดมีการเปลี่ยนแปลง
  • ควบคุมการจัดการผู้ใช้ได้อย่างเต็มที่
    เชื่อมต่อเซิร์ฟเวอร์ SAML ของบริษัทกับพอร์ทัลที่ผสานรวม เมื่อผู้ใช้ออกจากองค์กรและถูกยกเลิกการจัดสรรจากส่วนกลาง ผู้ใช้ดังกล่าวจะไม่สามารถตรวจสอบสิทธิ์กับบริการ SSO ของคุณเพื่อใช้พอร์ทัลที่ผสานรวมได้อีกต่อไป

กำหนดค่าผู้ให้บริการข้อมูลประจำตัวในตัว

กำหนดค่าผู้ให้บริการข้อมูลประจำตัวในตัวตามที่อธิบายไว้ในส่วนต่อไปนี้

เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวในตัว

วิธีเข้าถึงผู้ให้บริการข้อมูลประจำตัวในตัว

  1. เลือกเผยแพร่ > พอร์ทัลในแถบนำทางด้านข้างเพื่อแสดงรายการพอร์ทัล
  2. คลิกแถวของพอร์ทัลที่ต้องการดูทีม
  3. คลิกบัญชีในหน้า Landing Page ของพอร์ทัล หรือจะเลือกบัญชีในรายการแบบเลื่อนลงของพอร์ทัลในแถบนำทางด้านบนก็ได้
  4. คลิกแท็บการตรวจสอบสิทธิ์
  5. ในส่วนผู้ให้บริการข้อมูลประจำตัว ให้คลิกประเภทผู้ให้บริการในตัว
  6. กำหนดค่าผู้ให้บริการข้อมูลประจำตัวในตัว ตามที่อธิบายไว้ในส่วนต่อไปนี้

เปิดใช้ผู้ให้บริการข้อมูลประจำตัวในตัว

วิธีเปิดใช้ผู้ให้บริการข้อมูลประจำตัวในตัว

  1. เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวในตัว
  2. คลิก ในส่วน Provider Configuration

  3. เลือกช่องทำเครื่องหมายเปิดใช้เพื่อเปิดใช้ผู้ให้บริการข้อมูลประจำตัว

    หากต้องการปิดใช้งานผู้ให้บริการข้อมูลประจำตัวในตัว ให้ยกเลิกการเลือกช่องทำเครื่องหมาย

  4. คลิกบันทึก

จำกัดการลงทะเบียนพอร์ทัลด้วยอีเมลหรือโดเมน

จำกัดการลงทะเบียนพอร์ทัลด้วยการระบุอีเมลแต่ละรายการ (developer@some-company.com) หรือโดเมนอีเมล (some-company.com โดยไม่มี @ นำหน้า) ที่สามารถสร้างบัญชีในพอร์ทัลของคุณได้

ในการจับคู่โดเมนย่อยที่ซ้อนกันทั้งหมด ให้เพิ่มสตริงไวลด์การ์ด *. ไว้หน้าโดเมนหรือโดเมนย่อย เช่น *.example.com จะจับคู่ test@example.com, test@dev.example.com และอื่นๆ

หากเว้นว่างไว้ คุณจะใช้อีเมลใดก็ได้เพื่อลงทะเบียนในพอร์ทัล

หากต้องการจำกัดการลงทะเบียนพอร์ทัลตามอีเมลหรือโดเมน ให้ทำดังนี้

  1. เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวในตัว
  2. คลิก ในส่วน Provider Configuration
  3. ในส่วนข้อจำกัดบัญชี ให้ป้อนอีเมลหรือโดเมนอีเมลที่คุณต้องการอนุญาตให้ลงทะเบียนและลงชื่อเข้าใช้พอร์ทัลในกล่องข้อความ แล้วคลิก +
  4. เพิ่มรายการเพิ่มเติมตามต้องการ
  5. หากต้องการลบรายการ ให้คลิก x ที่อยู่ถัดจากรายการนั้น
  6. คลิกบันทึก

กำหนดค่าการแจ้งเตือนทางอีเมล

สำหรับผู้ให้บริการในตัว คุณสามารถเปิดใช้และกำหนดค่าการแจ้งเตือนทางอีเมลต่อไปนี้ได้

การแจ้งเตือนทางอีเมล ผู้รับ ทริกเกอร์ คำอธิบาย
แจ้งเตือนเกี่ยวกับบัญชีผู้ให้บริการ APIผู้ใช้พอร์ทัลสร้างบัญชีใหม่หากกำหนดค่าพอร์ทัลให้กำหนดให้เปิดใช้งานบัญชีผู้ใช้ด้วยตนเอง คุณต้องเปิดใช้งานบัญชีผู้ใช้ด้วยตนเองก่อน ผู้ใช้พอร์ทัลจึงจะลงชื่อเข้าใช้ได้
การยืนยันบัญชีผู้ใช้พอร์ทัลผู้ใช้พอร์ทัลสร้างบัญชีใหม่ให้ลิงก์ที่ปลอดภัยเพื่อยืนยันการสร้างบัญชี ลิงก์จะหมดอายุใน 10 นาที

เมื่อกำหนดค่าการแจ้งเตือนทางอีเมล ให้ทำดังนี้

  • ใช้แท็ก HTML เพื่อจัดรูปแบบข้อความ โปรดส่งอีเมลทดสอบเพื่อตรวจสอบว่าการจัดรูปแบบปรากฏตามที่คาดไว้

  • คุณสามารถแทรกตัวแปรต่อไปนี้อย่างน้อย 1 ตัว ซึ่งระบบจะแทนที่เมื่อส่งการแจ้งเตือนทางอีเมล

    ตัวแปร คำอธิบาย
    {{firstName}} ชื่อ
    {{lastName}} นามสกุล
    {{email}} อีเมล
    {{siteurl}} ลิงก์ไปยังพอร์ทัลถ่ายทอดสด
    {{verifylink}} ลิงก์ที่ใช้ในการยืนยันบัญชี

วิธีกำหนดค่าการแจ้งเตือนทางอีเมล

  1. เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัวในตัว

  2. ในการกำหนดค่าการแจ้งเตือนทางอีเมลที่ส่งไปยัง

    • ผู้ให้บริการ API สำหรับการเปิดใช้งานบัญชีนักพัฒนาแอปใหม่ ให้คลิก ในส่วนแจ้งเตือนบัญชี
    • ผู้ใช้พอร์ทัลเพื่อยืนยันตัวตน คลิก ในส่วนยืนยันบัญชี

  3. แก้ไขช่องเรื่องและเนื้อหา

  4. คลิกส่งอีเมลทดสอบเพื่อส่งอีเมลทดสอบไปยังอีเมลของคุณ

  5. คลิกบันทึก

กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML (เบต้า)

กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ตามที่อธิบายไว้ในส่วนต่อไปนี้

เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัว SAML

วิธีเข้าถึงผู้ให้บริการข้อมูลประจำตัว SAML

  1. เลือกเผยแพร่ > พอร์ทัลในแถบนำทางด้านข้างเพื่อแสดงรายการพอร์ทัล
  2. คลิกแถวของพอร์ทัลที่ต้องการดูทีม
  3. คลิกบัญชีในหน้า Landing Page ของพอร์ทัล หรือจะเลือกบัญชีในรายการแบบเลื่อนลงของพอร์ทัลในแถบนำทางด้านบนก็ได้
  4. คลิกแท็บการตรวจสอบสิทธิ์
  5. ในส่วน Identity provider ให้คลิกประเภทผู้ให้บริการ SAML

  6. กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ตามที่อธิบายไว้ในส่วนต่อไปนี้

เปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML

วิธีเปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML

  1. เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัว SAML
  2. คลิก ในส่วน Provider Configuration

  3. เลือกช่องทำเครื่องหมายเปิดใช้เพื่อเปิดใช้ผู้ให้บริการข้อมูลประจำตัว

    หากต้องการปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML ให้ยกเลิกการเลือกช่องทำเครื่องหมาย

  4. คลิกบันทึก

  5. หากกำหนดค่าโดเมนที่กำหนดเองแล้ว โปรดดูใช้โดเมนที่กำหนดเองกับผู้ให้บริการข้อมูลประจำตัว SAML

กำหนดการตั้งค่า SAML

วิธีกำหนดการตั้งค่า SAML

  1. เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัว SAML
  2. คลิก ในส่วน SAML Settings

  3. คลิกคัดลอกที่อยู่ติดกับ URL ข้อมูลเมตา SP

  4. กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML โดยใช้ข้อมูลในไฟล์ข้อมูลเมตาของผู้ให้บริการ (SP)

    สำหรับผู้ให้บริการข้อมูลประจำตัว SAML บางราย คุณจะได้รับข้อความแจ้งให้ระบุ URL ของข้อมูลเมตาเท่านั้น สำหรับระบบอื่นๆ คุณจะต้องดึงข้อมูลที่ต้องการจากไฟล์ข้อมูลเมตาแล้วป้อนลงในแบบฟอร์ม

    ในกรณีหลัง ให้วาง URL ลงในเบราว์เซอร์เพื่อดาวน์โหลดไฟล์ข้อมูลเมตา SP และดึงข้อมูลที่จำเป็น เช่น รหัสเอนทิตีหรือ URL การลงชื่อเข้าใช้จะดึงข้อมูลจากองค์ประกอบต่อไปนี้ในไฟล์ข้อมูลเมตา SP ได้

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

  5. กำหนดการตั้งค่า SAML สำหรับผู้ให้บริการข้อมูลประจำตัว

    ในส่วน SAML Settings ให้แก้ไขค่าต่อไปนี้ที่ได้รับจากไฟล์ข้อมูลเมตาผู้ให้บริการข้อมูลประจำตัว SAML

    การตั้งค่า SAMLคำอธิบาย
    URL สำหรับลงชื่อเข้าใช้URL ที่ระบบเปลี่ยนเส้นทางผู้ใช้เพื่อให้ลงชื่อเข้าใช้ผู้ให้บริการข้อมูลประจำตัวแบบ SAML
    ตัวอย่างเช่น https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL สำหรับออกจากระบบURL ที่ระบบเปลี่ยนเส้นทางผู้ใช้เพื่อให้ออกจากระบบของผู้ให้บริการข้อมูลประจำตัว SAML

    ปล่อยช่องนี้ไว้ว่างในกรณีต่อไปนี้

    • ผู้ให้บริการข้อมูลประจำตัว SAML ของคุณไม่ได้ให้ URL การออกจากระบบ
    • คุณไม่ต้องการให้ผู้ใช้ออกจากระบบของผู้ให้บริการข้อมูลประจำตัว SAML เมื่อออกจากระบบพอร์ทัลแบบผสานรวม
    • คุณต้องการเปิดใช้โดเมนที่กำหนดเอง (โปรดดูปัญหาที่ทราบ)
    รหัสเอนทิตีของ IDPรหัสที่ไม่ซ้ำกันสำหรับผู้ให้บริการข้อมูลประจำตัว SAML
    เช่น http://www.okta.com/exkhgdyponHIp97po0h7

  6. คลิกบันทึก

กำหนดค่าแอตทริบิวต์ผู้ใช้ที่กำหนดเองสำหรับผู้ให้บริการข้อมูลประจำตัว SAML

เราขอแนะนำให้สร้างและกำหนดค่าแอตทริบิวต์ผู้ใช้ที่กำหนดเองที่กำหนดในตารางต่อไปนี้สำหรับผู้ให้บริการข้อมูลประจำตัว SAML เพื่อให้แน่ใจว่าระบบจะจับคู่ผู้ให้บริการข้อมูลประจำตัว SAML กับบัญชีนักพัฒนาแอปพอร์ทัลได้อย่างถูกต้อง ตั้งค่าของแอตทริบิวต์ที่กำหนดเองแต่ละรายการเป็นแอตทริบิวต์ผู้ใช้ที่เกี่ยวข้องซึ่งผู้ให้บริการข้อมูลประจำตัว SAML กำหนดไว้ (เช่น Okta)

แอตทริบิวต์ที่กำหนดเอง ตัวอย่าง (Okta)
first_name user.firstName
last_name user.lastName
email user.email

ข้อมูลต่อไปนี้แสดงวิธีกำหนดค่าแอตทริบิวต์ผู้ใช้ที่กำหนดเองและแอตทริบิวต์ NameID โดยใช้ Okta เป็นผู้ให้บริการข้อมูลประจำตัว SAML บุคคลที่สาม

ใช้โดเมนที่กำหนดเองกับผู้ให้บริการข้อมูลประจำตัว SAML

หลังจากกำหนดค่าและเปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML แล้ว คุณจะกำหนดค่าโดเมนที่กำหนดเอง (เช่น developers.example.com) ได้ตามที่อธิบายไว้ในปรับแต่งโดเมนของคุณ

สิ่งสำคัญคือต้องซิงค์การตั้งค่าการกำหนดค่าระหว่างโดเมนที่กำหนดเองและผู้ให้บริการข้อมูลประจำตัว SAML ให้ตรงกัน หากการตั้งค่าไม่ซิงค์ คุณอาจพบปัญหาระหว่างการให้สิทธิ์ เช่น คำขอการให้สิทธิ์ที่ส่งไปยังผู้ให้บริการข้อมูลประจำตัว SAML อาจมี AssertionConsumerServiceURL ที่ไม่ได้กำหนดโดยใช้โดเมนที่กำหนดเอง

หากต้องการซิงค์การตั้งค่าการกำหนดค่าระหว่างโดเมนที่กำหนดเองและผู้ให้บริการข้อมูลประจำตัว SAML ให้ทำดังนี้

  • ถ้าคุณกำหนดค่าหรืออัปเดตโดเมนที่กำหนดเองหลังจากเปิดใช้และกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ให้บันทึกการกำหนดค่าโดเมนที่กำหนดเองและตรวจสอบว่าเปิดใช้แล้ว รอประมาณ 30 นาทีเพื่อให้แคชยกเลิกการใช้งาน จากนั้นกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML อีกครั้งโดยใช้ข้อมูลที่อัปเดตในไฟล์ข้อมูลเมตาของผู้ให้บริการ (SP) ตามที่อธิบายไว้ในกำหนดการตั้งค่า SAML คุณควรเห็นโดเมนที่กำหนดเองในข้อมูลเมตา SP

  • หากคุณกำหนดค่าโดเมนที่กำหนดเองก่อนกำหนดค่าและเปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML คุณจะต้องรีเซ็ตโดเมนที่กำหนดเอง (ดังที่อธิบายไว้ด้านล่าง) เพื่อให้กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ได้อย่างถูกต้อง

  • หากต้องการรีเซ็ต (ปิดใช้และเปิดใช้อีกครั้ง) ผู้ให้บริการข้อมูลประจำตัว SAML ตามที่อธิบายไว้ในเปิดใช้ผู้ให้บริการข้อมูลประจำตัว SAML คุณต้องรีเซ็ตโดเมนที่กำหนดเองด้วย (ตามที่อธิบายไว้ด้านล่าง)

รีเซ็ตโดเมนที่กำหนดเอง

หากต้องการรีเซ็ต (ปิดใช้และเปิดใช้) โดเมนที่กำหนดเอง ให้ทำดังนี้

  1. เลือกเผยแพร่ > พอร์ทัลในการนำทางด้านซ้าย แล้วเลือกพอร์ทัล
  2. เลือกการตั้งค่าในเมนูแบบเลื่อนลงในแถบนำทางด้านบนหรือในหน้า Landing Page
  3. คลิกแท็บ โดเมน
  4. คลิกปิดใช้เพื่อปิดใช้โดเมนที่กำหนดเอง
  5. คลิกเปิดใช้เพื่อเปิดใช้โดเมนที่กำหนดเองอีกครั้ง

โปรดดูข้อมูลเพิ่มเติมที่หัวข้อปรับแต่งโดเมน

อัปโหลดใบรับรองใหม่

วิธีอัปโหลดใบรับรองใหม่

  1. ดาวน์โหลดใบรับรองจากผู้ให้บริการข้อมูลประจำตัว SAML

  2. เข้าถึงหน้าผู้ให้บริการข้อมูลประจำตัว SAML

  3. คลิกแถวของโซนข้อมูลประจำตัวที่ต้องการอัปโหลดใบรับรองใหม่

  4. คลิก ในส่วนใบรับรอง

  5. คลิกเรียกดูและไปที่ใบรับรองในไดเรกทอรีในเครื่อง

  6. คลิกเปิดเพื่ออัปโหลดใบรับรองใหม่
    ระบบจะอัปเดตช่องข้อมูลใบรับรองเพื่อให้สอดคล้องกับใบรับรองที่เลือก

  7. ตรวจสอบว่าใบรับรองถูกต้องและไม่หมดอายุ

  8. คลิกบันทึก

แปลงใบรับรอง x509 เป็นรูปแบบ PEM

หากคุณดาวน์โหลดใบรับรอง x509 คุณต้องแปลงเป็นรูปแบบ PEM

หากต้องการแปลงใบรับรอง x509 เป็นรูปแบบ PEM ให้ทำดังนี้

  1. คัดลอกเนื้อหาของ ds:X509Certificate element จากไฟล์ข้อมูลเมตาของผู้ให้บริการข้อมูลประจำตัว SAML และวางลงในเครื่องมือแก้ไขข้อความที่ต้องการ
  2. เพิ่มบรรทัดต่อไปนี้ที่ด้านบนของไฟล์
    -----BEGIN CERTIFICATE-----
  3. เพิ่มบรรทัดต่อไปนี้ที่ด้านล่างของไฟล์
    -----END CERTIFICATE-----
  4. บันทึกไฟล์โดยใช้ส่วนขยาย .pem

ตัวอย่างต่อไปนี้คือตัวอย่างเนื้อหาไฟล์ PEM

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----