Định cấu hình nhà cung cấp danh tính

Bạn đang xem tài liệu về Apigee Edge.
Hãy xem tài liệu về Apigee X.

Đối với các cổng tích hợp, bạn có thể xác định nhà cung cấp danh tính để hỗ trợ các loại xác thực được xác định trong bảng sau.

Loại xác thực Mô tả
Tích hợp sẵn

Yêu cầu người dùng chuyển thông tin xác thực của họ (tên người dùng và mật khẩu) đến cổng tích hợp để xác thực.Khi bạn tạo một cổng thông tin mới, nhà cung cấp danh tính tích hợp sẵn sẽ được định cấu hình và bật.

Để tìm hiểu trải nghiệm đăng nhập từ góc độ người dùng, hãy xem Đăng nhập vào cổng bằng thông tin đăng nhập của người dùng (nhà cung cấp tích hợp).

SAML (Bản thử nghiệm)

Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) là giao thức chuẩn cho môi trường đăng nhập một lần (SSO). Xác thực SSO bằng SAML cho phép người dùng đăng nhập vào cổng tích hợp Apigee Edge của bạn mà không phải tạo tài khoản mới. Người dùng đăng nhập bằng thông tin đăng nhập tài khoản được quản lý tập trung của họ.

Để hiểu về trải nghiệm đăng nhập từ góc độ người dùng, hãy xem Đăng nhập vào cổng bằng SAML.

Lợi ích của việc xác thực SAML cho các cổng tích hợp

Việc định cấu hình SAML làm nhà cung cấp danh tính cho cổng tích hợp mang lại các lợi ích sau:

  • Thiết lập chương trình dành cho nhà phát triển một lần và sử dụng lại chương trình đó trên nhiều cổng thông tin tích hợp. Chọn chương trình nhà phát triển của bạn khi tạo cổng tích hợp. Dễ dàng cập nhật hoặc thay đổi chương trình dành cho nhà phát triển khi yêu cầu thay đổi.
  • Kiểm soát hoàn toàn việc quản lý người dùng
    Kết nối máy chủ SAML của công ty bạn với cổng tích hợp. Khi người dùng rời khỏi tổ chức của bạn và bị hủy cấp phép tập trung, họ sẽ không thể xác thực bằng dịch vụ SSO (Dịch vụ đăng nhập một lần) của bạn để sử dụng cổng tích hợp.

Định cấu hình nhà cung cấp danh tính tích hợp sẵn

Định cấu hình nhà cung cấp danh tính tích hợp sẵn, như được mô tả trong các phần sau.

Truy cập trang Nhà cung cấp danh tính tích hợp sẵn

Cách truy cập vào nhà cung cấp danh tính tích hợp sẵn:

  1. Chọn Xuất bản > Cổng thông tin trong thanh điều hướng bên để hiển thị danh sách các cổng.
  2. Nhấp vào hàng của cổng mà bạn muốn xem các nhóm.
  3. Nhấp vào Tài khoản trên trang đích của cổng. Ngoài ra, bạn có thể chọn Tài khoản trong menu thả xuống của cổng trong thanh điều hướng trên cùng.
  4. Nhấp vào tab Xác thực.
  5. Trong phần Nhà cung cấp danh tính, nhấp vào loại nhà cung cấp tích hợp sẵn.
  6. Định cấu hình nhà cung cấp danh tính tích hợp sẵn, như được mô tả trong các phần sau:

Bật trình cung cấp danh tính tích hợp sẵn

Cách bật trình cung cấp danh tính tích hợp sẵn:

  1. Truy cập trang Nhà cung cấp danh tính tích hợp sẵn.
  2. Nhấp vào trong phần Provider Configuration (Cấu hình nhà cung cấp).
  3. Chọn hộp đánh dấu Enabled (Bật) để bật trình cung cấp danh tính.

    Để tắt trình cung cấp danh tính tích hợp sẵn, hãy bỏ chọn hộp kiểm.

  4. Nhấp vào Lưu.

Hạn chế việc đăng ký cổng thông tin theo địa chỉ email hoặc miền

Hạn chế đăng ký cổng thông tin bằng cách xác định các địa chỉ email cá nhân (developer@some-company.com) hoặc miền email (some-company.com, không có @ ở đầu) có thể tạo tài khoản trên cổng thông tin của bạn.

Để khớp tất cả các miền con lồng nhau, hãy thêm chuỗi ký tự đại diện *. vào một miền hoặc miền con. Ví dụ: *.example.com sẽ khớp với test@example.com, test@dev.example.com, v.v.

Nếu để trống, bạn có thể sử dụng bất kỳ địa chỉ email nào để đăng ký trên cổng thông tin.

Để hạn chế việc đăng ký cổng thông tin theo địa chỉ email hoặc miền:

  1. Truy cập trang Nhà cung cấp danh tính tích hợp sẵn.
  2. Nhấp vào trong phần Provider Configuration (Cấu hình nhà cung cấp).
  3. Trong phần Hạn chế tài khoản, nhập địa chỉ email hoặc miền email mà bạn muốn cho phép đăng ký và đăng nhập vào cổng trong hộp văn bản và nhấp vào +.
  4. Thêm mục nhập bổ sung, nếu cần.
  5. Để xóa một mục nhập, hãy nhấp vào dấu x bên cạnh mục nhập đó.
  6. Nhấp vào Lưu.

Định cấu hình thông báo qua email

Đối với nhà cung cấp được tích hợp sẵn, bạn có thể bật và định cấu hình các thông báo qua email sau:

Thông báo email Người nhận Điều kiện kích hoạt Mô tả
Thông báo về tài khoảnNhà cung cấp APINgười dùng cổng thông tin tạo tài khoản mớiNếu bạn đã định cấu hình cổng của mình để yêu cầu kích hoạt tài khoản người dùng theo cách thủ công, bạn cần phải kích hoạt tài khoản người dùng theo cách thủ công trước khi người dùng cổng có thể đăng nhập.
Xác minh tài khoảnNgười dùng cổng thông tinNgười dùng cổng thông tin tạo tài khoản mớiCung cấp một đường liên kết an toàn để xác minh việc tạo tài khoản. Đường liên kết này sẽ hết hạn sau 10 phút.

Khi định cấu hình thông báo qua email:

  • Sử dụng thẻ HTML để định dạng văn bản. Hãy chắc chắn gửi email thử nghiệm để xác thực định dạng xuất hiện như mong đợi.
  • Bạn có thể chèn một hoặc nhiều biến sau đây sẽ được thay thế khi thông báo qua email được gửi.

    Biến Mô tả
    {{firstName}} Tên
    {{lastName}} Họ
    {{email}} Địa chỉ email
    {{siteurl}} Liên kết đến cổng trực tiếp
    {{verifylink}} Đường liên kết dùng để xác minh tài khoản

Để định cấu hình thông báo qua email:

  1. Truy cập trang Nhà cung cấp danh tính tích hợp sẵn.
  2. Để định cấu hình thông báo email được gửi đến:

    • Nhà cung cấp API để kích hoạt tài khoản nhà phát triển mới, nhấp vào trong phần Thông báo tài khoản.
    • Người dùng cổng xác minh danh tính của họ, nhấp vào trong phần Xác minh tài khoản.
  3. Chỉnh sửa các trường Chủ đềNội dung.

  4. Nhấp vào Gửi email thử nghiệm để gửi email thử nghiệm đến địa chỉ email của bạn.

  5. Nhấp vào Lưu.

Định cấu hình nhà cung cấp danh tính SAML (beta)

Định cấu hình nhà cung cấp danh tính SAML, như được mô tả trong các phần sau.

Truy cập trang Nhà cung cấp danh tính SAML

Cách truy cập vào nhà cung cấp danh tính SAML:

  1. Chọn Xuất bản > Cổng thông tin trong thanh điều hướng bên để hiển thị danh sách các cổng.
  2. Nhấp vào hàng của cổng mà bạn muốn xem các nhóm.
  3. Nhấp vào Tài khoản trên trang đích của cổng. Ngoài ra, bạn có thể chọn Tài khoản trong menu thả xuống của cổng trong thanh điều hướng trên cùng.
  4. Nhấp vào tab Xác thực.
  5. Trong phần Nhà cung cấp danh tính, hãy nhấp vào loại nhà cung cấp SAML.
  6. Định cấu hình nhà cung cấp danh tính SAML, như được mô tả trong các phần sau:

Bật trình cung cấp danh tính SAML

Để bật nhà cung cấp danh tính SAML:

  1. Truy cập vào trang Nhà cung cấp danh tính SAML.
  2. Nhấp vào trong phần Provider Configuration (Cấu hình nhà cung cấp).
  3. Chọn hộp đánh dấu Enabled (Bật) để bật trình cung cấp danh tính.

    Để tắt nhà cung cấp danh tính SAML, hãy bỏ chọn hộp kiểm.

  4. Nhấp vào Lưu.

  5. Nếu bạn đã định cấu hình một miền tùy chỉnh, hãy xem phần Sử dụng miền tùy chỉnh với nhà cung cấp danh tính SAML.

Định cấu hình cài đặt SAML

Để định cấu hình cài đặt SAML:

  1. Truy cập vào trang Nhà cung cấp danh tính SAML.
  2. Trong phần Cài đặt SAML, nhấp vào .
  3. Nhấp vào Sao chép bên cạnh URL siêu dữ liệu SP.

  4. Định cấu hình nhà cung cấp danh tính SAML bằng cách sử dụng thông tin trong tệp siêu dữ liệu của nhà cung cấp dịch vụ (SP).

    Đối với một số nhà cung cấp danh tính SAML, bạn sẽ chỉ được nhắc đối với URL siêu dữ liệu. Đối với những trường hợp khác, bạn sẽ cần phải trích xuất thông tin cụ thể từ tệp siêu dữ liệu và nhập vào biểu mẫu.

    Trong trường hợp thứ hai, dán URL vào trình duyệt để tải xuống tệp siêu dữ liệu SP và trích xuất thông tin cần thiết. Ví dụ: ID thực thể hoặc URL đăng nhập có thể được trích xuất từ các phần tử sau đây trong tệp siêu dữ liệu SP:

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
  5. Định cấu hình tùy chọn cài đặt SAML cho nhà cung cấp danh tính.

    Trong phần Cài đặt SAML, hãy chỉnh sửa các giá trị sau lấy từ tệp siêu dữ liệu của nhà cung cấp danh tính SAML:

    Cài đặt SAMLMô tả
    URL đăng nhậpURL mà người dùng được chuyển hướng đến để đăng nhập vào nhà cung cấp danh tính SAML.
    Ví dụ: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL đăng xuấtURL mà người dùng được chuyển hướng đến để đăng xuất khỏi nhà cung cấp danh tính SAML.

    Để trường này trống nếu:

    • Nhà cung cấp danh tính SAML không cung cấp URL đăng xuất
    • Bạn không muốn người dùng bị đăng xuất khỏi nhà cung cấp danh tính SAML khi đăng xuất khỏi cổng tích hợp
    • Bạn muốn bật miền tùy chỉnh (tham khảo sự cố đã biết)
    ID pháp nhân IDPMã nhận dạng duy nhất của nhà cung cấp danh tính SAML.
    Ví dụ: http://www.okta.com/exkhgdyponHIp97po0h7
  6. Nhấp vào Lưu.

Định cấu hình các thuộc tính người dùng tùy chỉnh cho nhà cung cấp danh tính SAML

Để đảm bảo việc ánh xạ đúng cách giữa nhà cung cấp danh tính SAML và tài khoản nhà phát triển cổng, bạn nên tạo và định cấu hình các thuộc tính người dùng tùy chỉnh được xác định trong bảng sau đây cho nhà cung cấp danh tính SAML. Đặt giá trị của mỗi thuộc tính tùy chỉnh thành thuộc tính người dùng tương ứng do nhà cung cấp danh tính SAML xác định (ví dụ: Okta).

Thuộc tính tùy chỉnh Ví dụ (Okta)
first_name user.firstName
last_name user.lastName
email user.email

Phần sau đây cho biết cách định cấu hình thuộc tính người dùng tùy chỉnh và thuộc tính NameID bằng Okta làm nhà cung cấp danh tính SAML bên thứ ba của bạn.

Sử dụng miền tùy chỉnh với nhà cung cấp danh tính SAML

Sau khi định cấu hình và bật nhà cung cấp danh tính SAML, bạn có thể định cấu hình miền tùy chỉnh (chẳng hạn như developers.example.com), như mô tả trong phần Tùy chỉnh miền của bạn.

Điều quan trọng là luôn đồng bộ hóa các tùy chọn cài đặt cấu hình giữa miền tùy chỉnh và nhà cung cấp danh tính SAML. Nếu cài đặt cấu hình không đồng bộ, bạn có thể gặp sự cố trong khi ủy quyền. Ví dụ: yêu cầu cấp quyền được gửi tới nhà cung cấp danh tính SAML có thể có một AssertionConsumerServiceURL không được xác định bằng miền tuỳ chỉnh.

Để đồng bộ hóa cài đặt cấu hình giữa miền tùy chỉnh và nhà cung cấp danh tính SAML:

  • Nếu bạn định cấu hình hoặc cập nhật miền tùy chỉnh sau khi bật và định cấu hình nhà cung cấp danh tính SAML, hãy lưu cấu hình miền tùy chỉnh và đảm bảo cấu hình đó được bật. Chờ khoảng 30 phút để bộ nhớ đệm vô hiệu hoá, sau đó định cấu hình lại nhà cung cấp danh tính SAML bằng cách sử dụng thông tin cập nhật trong tệp siêu dữ liệu của nhà cung cấp dịch vụ (SP), như mô tả trong Định cấu hình cài đặt SAML. Bạn sẽ thấy miền tùy chỉnh của mình trong Siêu dữ liệu SP.

  • Nếu bạn định cấu hình miền tùy chỉnh trước khi định cấu hình và bật nhà cung cấp danh tính SAML, bạn cần đặt lại miền tùy chỉnh (được mô tả bên dưới) để đảm bảo rằng nhà cung cấp danh tính SAML được định cấu hình đúng cách.

  • Nếu cần đặt lại (tắt và bật lại) nhà cung cấp danh tính SAML, theo mô tả trong phần Bật nhà cung cấp danh tính SAML, bạn cũng phải Đặt lại miền tùy chỉnh (như mô tả bên dưới).

Đặt lại miền tùy chỉnh

Để đặt lại (tắt và bật) miền tùy chỉnh:

  1. Chọn Xuất bản > Cổng trong điều hướng bên trái và chọn cổng của bạn.
  2. Chọn Cài đặt trong menu thả xuống trong thanh điều hướng trên cùng hoặc trên trang đích.
  3. Nhấp vào tab Miền.
  4. Nhấp vào Tắt để tắt miền tùy chỉnh.
  5. Nhấp vào Bật để bật lại miền tùy chỉnh.

Để biết thêm thông tin, hãy xem Tùy chỉnh miền của bạn.

Tải lên chứng chỉ mới

Để tải lên chứng chỉ mới:

  1. Tải chứng chỉ xuống từ nhà cung cấp danh tính SAML.

  2. Truy cập vào trang Nhà cung cấp danh tính SAML.

  3. Nhấp vào hàng vùng nhận dạng mà bạn muốn tải lên chứng chỉ mới.

  4. Trong phần Chứng chỉ, nhấp vào .

  5. Nhấp vào Duyệt qua và chuyển đến chứng chỉ trong thư mục cục bộ của bạn.

  6. Nhấp vào Mở để tải lên chứng chỉ mới.
    Trường thông tin Chứng chỉ được cập nhật để phản ánh chứng chỉ đã chọn.

  7. Xác minh rằng chứng chỉ hợp lệ và chưa hết hạn.

  8. Nhấp vào Lưu.

Chuyển đổi chứng chỉ x509 sang định dạng PEM

Nếu bạn tải xuống chứng chỉ x509, bạn cần chuyển đổi chứng chỉ sang định dạng PEM.

Để chuyển đổi chứng chỉ x509 sang định dạng PEM:

  1. Sao chép nội dung của ds:X509Certificate element từ tệp siêu dữ liệu của nhà cung cấp danh tính SAML và dán vào trình chỉnh sửa văn bản yêu thích của bạn.
  2. Thêm dòng sau đây vào đầu tệp:
    -----BEGIN CERTIFICATE-----
  3. Thêm dòng sau vào cuối tệp:
    -----END CERTIFICATE-----
  4. Lưu tệp bằng đuôi tệp .pem.

Sau đây là ví dụ về nội dung tệp PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----