您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件。 資訊
針對整合式入口網站,您可以定義識別資訊提供者,以支援下表中定義的驗證類型。
| 驗證類型 | 說明 |
|---|---|
| 內建 | 要求使用者將自己的憑證 (使用者名稱和密碼) 傳送至整合式入口網站進行驗證。建立新的入口網站時,系統也會設定及啟用內建的識別資訊提供者。 如要從使用者的角度瞭解登入體驗,請參閱「使用使用者憑證 (內建供應商) 登入入口網站」。 |
| SAML (Beta 版) | 安全性宣告標記語言 (SAML) 是單一登入 (SSO) 環境的標準通訊協定。透過 SAML 的單一登入 (SSO) 驗證,使用者不必建立新帳戶,就能登入 Apigee Edge 整合式入口網站。使用者可使用集中管理的帳戶憑證登入。 如要從使用者的角度瞭解登入體驗,請參閱使用 SAML 登入入口網站。 |
整合入口網站的 SAML 驗證的優點
將 SAML 設為整合入口網站的識別資訊提供者俱有下列優點:
- 只要設定開發人員計畫一次,然後在多個整合入口網站中重複使用即可。在建立整合式入口網站時選擇開發人員計畫。隨著需求不斷演進,您可以輕鬆更新或變更開發人員計畫。
- 完全掌控使用者管理
將您的公司 SAML 伺服器連結至經過整合的入口網站。使用者離開貴機構並集中取消佈建後,將無法再通過您的 SSO 服務驗證來使用整合式入口網站。
設定內建識別資訊提供者
按照下列各節所述設定內建識別資訊提供者。
存取內建識別資訊提供者頁面
如何存取內建識別資訊提供者:
- 在側邊導覽列中,依序選取「Publish」(發布) >「Ports」(入口網站),即可顯示入口網站清單。
- 在要查看團隊的入口網站中按一下資料列。
- 在入口網站到達網頁中,按一下「帳戶」。 或者,您也可以在頂端導覽列的入口網站下拉式選單中選取「帳戶」。
- 按一下「驗證」分頁標籤。
- 在「識別資訊提供者」部分中,按一下「內建」提供者類型。
- 按照下列各節所述設定內建識別資訊提供者:
啟用內建的識別資訊提供者
如何啟用內建的識別資訊提供者:
- 存取「內建識別資訊提供者」頁面。
- 按一下「Provider Configuration」部分的
。 勾選「Enabled」核取方塊,即可啟用識別資訊提供者。
如要停用內建的識別資訊提供者,請取消勾選核取方塊。
按一下「儲存」。
依據電子郵件地址或網域限制入口網站註冊
識別能夠在入口網站建立帳戶的個別電子郵件地址 (developer@some-company.com) 或電子郵件網域 (some-company.com,不含 @),藉此限制入口網站註冊。
如要比對所有巢狀子網域,請在網域或子網域前面加上 *. 萬用字元字串。例如,*.example.com 會比對 test@example.com、test@dev.example.com 等。
如果留空,任何電子郵件地址都可以在入口網站上註冊。
如何依據電子郵件地址或網域限制入口網站註冊:
- 存取「內建識別資訊提供者」頁面。
- 按一下「Provider Configuration」部分的 。
- 在「帳戶限制」部分的文字方塊中,輸入您想允許註冊並登入入口網站的電子郵件地址或電子郵件網域,然後按一下「+」+。
- 視需要新增其他項目。
- 如要刪除項目,請按一下項目旁邊的「x」x。
- 點按「儲存」。
設定電子郵件通知
對於內建供應商,您可以啟用及設定下列電子郵件通知:
| 電子郵件通知 | 收件者 | 觸發條件 | 說明 |
|---|---|---|---|
| 帳戶通知 | API 供應商 | 入口網站使用者建立新帳戶 | 如果您已將入口網站設為必須手動啟用使用者帳戶,就必須手動啟用使用者帳戶,入口網站使用者才能登入。 |
| 驗證帳戶 | 入口網站使用者 | 入口網站使用者建立新帳戶 | 提供安全連結,以便驗證帳戶建立作業。連結將於 10 分鐘後失效。 |
設定電子郵件通知時:
- 使用 HTML 標記設定文字格式。請務必傳送測試電子郵件,驗證格式是否正常顯示。
您可以插入下列一或多個變數,系統會在電子郵件通知傳送時替換這些變數。
變數 說明 {{firstName}}名字 {{lastName}}姓氏 {{email}}電子郵件地址 {{siteurl}}直播入口網站的連結 {{verifylink}}用於驗證帳戶的連結
如何設定電子郵件通知:
- 存取「內建識別資訊提供者」頁面。
如何設定電子郵件通知:
- 如果 API 供應商要啟用新的開發人員帳戶,請按一下「帳戶通知」部分的 。
- 入口網站使用者來驗證身分,請在「帳戶驗證」部分中按一下 。
- 如果 API 供應商要啟用新的開發人員帳戶,請按一下「帳戶通知」部分的
編輯「主旨」和「內文」欄位。
按一下「傳送測試電子郵件」,將測試電子郵件傳送至您的電子郵件地址。
按一下「儲存」。
設定 SAML 識別資訊提供者 (Beta 版)
請按照下列各節的說明設定 SAML 識別資訊提供者。
存取 SAML 識別資訊提供者頁面
如何存取 SAML 識別資訊提供者:
- 在側邊導覽列中,依序選取「Publish」(發布) >「Ports」(入口網站),即可顯示入口網站清單。
- 在要查看團隊的入口網站中按一下資料列。
- 在入口網站到達網頁中,按一下「帳戶」。 或者,您也可以在頂端導覽列的入口網站下拉式選單中選取「帳戶」。
- 按一下「驗證」分頁標籤。
- 在「識別資訊提供者」部分,按一下「SAML」供應商類型。
請按照下列各節的說明設定 SAML 識別資訊提供者:
啟用 SAML 識別資訊提供者
如何啟用 SAML 識別資訊提供者:
- 存取「SAML 識別資訊提供者」頁面。
- 按一下「Provider Configuration」部分的 。
勾選「Enabled」核取方塊,即可啟用識別資訊提供者。
如要停用 SAML 識別資訊提供者,請取消勾選這個核取方塊。
點按「儲存」。
如果您已設定自訂網域,請參閱透過 SAML 識別資訊提供者使用自訂網域。
進行 SAML 設定
如何指定 SAML 設定:
- 存取「SAML 識別資訊提供者」頁面。
- 在「SAML Settings」部分按一下 。
按一下「SP 中繼資料網址」旁邊的「複製」。
使用服務供應商 (SP) 中繼資料檔案中的資訊,設定 SAML 識別資訊提供者。
對於部分 SAML 識別資訊提供者,系統只會提示您輸入中繼資料網址。至於其他情況,您就必須從中繼資料檔案擷取特定資訊,然後依序輸入表單中。
如果是後者,請將網址貼到瀏覽器中,即可下載 SP 中繼資料檔案並擷取必要資訊。舉例來說,您可以從 SP 中繼資料檔案中的下列元素擷取實體 ID 或登入網址:<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login"><md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
調整識別資訊提供者的 SAML 設定。
在「SAML Settings」部分,編輯從 SAML 識別資訊提供者中繼資料檔案取得的下列值:
SAML 設定 說明 登入網址 將使用者重新導向 SAML 識別資訊提供者的網址。
例如:https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml登出網址 系統會將使用者重新導向到其登出 SAML 識別資訊提供者的網址。 如果是下列情況,請將這個欄位留空:
- 您的 SAML 識別資訊提供者未提供登出網址
- 您不希望使用者在登出整合式入口網站時,從 SAML 識別資訊提供者中登出
- 您想啟用自訂網域 (請參閱已知問題)
IDP 實體 ID SAML 識別資訊提供者的專屬 ID。
例如:http://www.okta.com/exkhgdyponHIp97po0h7點按「儲存」。
為 SAML 識別資訊提供者設定自訂使用者屬性
為確保 SAML 識別資訊提供者和入口網站開發人員帳戶之間的對應正確,建議您為 SAML 識別資訊提供者建立及設定下表中定義的自訂使用者屬性。將每個自訂屬性的值設為 SAML 識別資訊提供者定義的對應使用者屬性 (例如 Okta)。
| 自訂屬性 | 範例 (Okta) |
|---|---|
first_name |
user.firstName |
last_name |
user.lastName |
email |
user.email |
以下說明如何以 Okta 做為第三方 SAML 識別資訊提供者,設定自訂使用者屬性和 NameID 屬性。
將自訂網域與 SAML 識別資訊提供者搭配使用
設定並啟用 SAML 識別資訊提供者後,您就可以設定自訂網域 (例如 developers.example.com),詳情請參閱「自訂網域」。
請務必讓自訂網域和 SAML 識別資訊提供者的配置設定保持同步。如果配置設定未同步,可能會在授權期間遇到問題。舉例來說,傳送給 SAML 識別資訊提供者的授權要求中,可能會有未使用自訂網域定義的 AssertionConsumerServiceURL。
如何讓自訂網域和 SAML 識別資訊提供者的配置設定保持同步:
如果您在啟用及設定 SAML 識別資訊提供者「之後」才設定或更新自訂網域,請儲存自訂網域設定,並確保設定已啟用。等待約 30 分鐘讓快取失效,然後依照調整 SAML 設定的說明,使用服務供應商 (SP) 中繼資料檔案中的最新資訊重新設定 SAML 識別資訊提供者。您應該會在 SP 中繼資料中看到自己的自訂網域。
如果您在設定並啟用 SAML 識別資訊提供者「之前」就已經設定自訂網域,則必須重設自訂網域 (詳情請見下方說明),確保 SAML 識別資訊提供者的設定正確無誤。
如果您需要重設 (停用及重新啟用) SAML 識別資訊提供者 (如「啟用 SAML 識別資訊提供者」一節所述),您也必須重設自訂網域 (詳情請見下文)。
重設自訂網域
如何重設 (停用及啟用) 自訂網域:
- 在左側導覽面板中,依序選取「發布」>「入口網站」,然後選取您的入口網站。
- 在頂端導覽列或到達網頁的下拉式選單中,選取「設定」。
- 按一下「Domains」分頁標籤。
- 按一下「停用」即可停用自訂網域。
- 按一下「啟用」即可重新啟用自訂網域。
詳情請參閱自訂網域。
上傳新憑證
如何上傳新憑證:
從 SAML 識別資訊提供者下載憑證。
按一下您要上傳新憑證的身分可用區列。
在「Certificate」部分,按一下
。按一下「瀏覽」,然後前往本機目錄中的憑證。
按一下「開啟」即可上傳新憑證。
系統會更新憑證資訊欄位,以反映所選憑證。
驗證憑證是否有效且尚未過期。
按一下「儲存」。
將 x509 憑證轉換為 PEM 格式
如要下載 x509 憑證,您必須將其轉換為 PEM 格式。
如何將 x509 憑證轉換為 PEM 格式:
- 從 SAML 識別資訊提供者中繼資料檔案複製
ds:X509Certificate element內容,然後貼到常用的文字編輯器中。 - 在檔案頂端新增下列程式碼:
-----BEGIN CERTIFICATE----- - 在檔案底部加入下列程式碼:
-----END CERTIFICATE----- - 使用
.pem副檔名儲存檔案。
以下是 PEM 檔案內容的範例:
-----BEGIN CERTIFICATE-----
MIICMzCCAZygAwIBAgIJALiPnVsvq8dsMA0GCSqGSIb3DQEBBQUAMFMxCzAJBgNV
BAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNVBAcTA2ZvbzEMMAoGA1UEChMDZm9v
MQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2ZvbzAeFw0xMzAzMTkxNTQwMTlaFw0x
ODAzMTgxNTQwMTlaMFMxCzAJBgNVBAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNV
BAcTA2ZvbzEMMAoGA1UEChMDZm9vMQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2Zv
bzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAzdGfxi9CNbMf1UUcvDQh7MYB
OveIHyc0E0KIbhjK5FkCBU4CiZrbfHagaW7ZEcN0tt3EvpbOMxxc/ZQU2WN/s/wP
xph0pSfsfFsTKM4RhTWD2v4fgk+xZiKd1p0+L4hTtpwnEw0uXRVd0ki6muwV5y/P
+5FHUeldq+pgTcgzuK8CAwEAAaMPMA0wCwYDVR0PBAQDAgLkMA0GCSqGSIb3DQEB
BQUAA4GBAJiDAAtY0mQQeuxWdzLRzXmjvdSuL9GoyT3BF/jSnpxz5/58dba8pWen
v3pj4P3w5DoOso0rzkZy2jEsEitlVM2mLSbQpMM+MUVQCQoiG6W9xuCFuxSrwPIS
pAqEAuV4DNoxQKKWmhVv+J0ptMWD25Pnpxeq5sXzghfJnslJlQND
-----END CERTIFICATE-----