查看 Apigee Edge 說明文件。
前往
Apigee X說明文件。 資訊
對於整合式入口網站,您可以定義識別資訊提供者,以支援下表中定義的驗證類型。
| 驗證類型 | 說明 |
|---|---|
| 內建 | 要求使用者將憑證 (使用者名稱和密碼) 傳送到整合的入口網站進行驗證。建立新的入口網站時,系統會設定並啟用內建的識別資訊提供者。 如要從使用者的角度瞭解登入體驗,請參閱使用使用者憑證 (內建供應商) 登入入口網站。 |
| SAML (Beta 版) | 安全性宣告標記語言 (SAML) 是單一登入 (SSO) 環境的標準通訊協定。使用 SAML 的單一登入 (SSO) 驗證功能可讓使用者登入 Apigee Edge 整合式入口網站,而不必建立新帳戶。使用者可透過集中管理的帳戶憑證登入。 如要瞭解從使用者的角度瞭解登入體驗,請參閱使用 SAML 登入入口網站。 |
整合式入口網站的 SAML 驗證優點
將 SAML 設為整合入口網站的識別資訊提供者俱有以下優點:
- 只要設定一次開發人員計畫,就能在多個整合式入口網站上重複使用該計畫。 在建立整合入口網站時選擇您的開發人員計畫,配合規定不斷演進,輕鬆更新或變更開發人員計畫。
- 完全掌控使用者
將貴公司的 SAML 伺服器連結至整合的入口網站。從貴機構離職並取消佈建的使用者後,他們就無法再透過單一登入 (SSO) 服務使用整合式入口網站。
設定內建的識別資訊提供者
按照下列各節所述,設定內建識別資訊提供者。
存取「內建識別資訊提供者」頁面
如何存取內建識別資訊提供者:
- 選取「發布」>「發布」入口網站的側邊導覽列,即可顯示入口網站清單。
- 在入口網站上按一下要查看團隊的列。
- 在入口網站到達網頁上按一下「帳戶」。 或者,您也可以在頂端導覽列的入口網站下拉式選單中選取「帳戶」。
- 按一下「Authentication」分頁標籤。
- 在「識別資訊提供者」專區中,按一下「內建」提供者類型。
- 按照下列各節所述,設定內建識別資訊提供者:
啟用內建的識別資訊提供者
如何啟用內建識別資訊提供者:
- 存取「內建識別資訊提供者」頁面。
- 按一下「Provider Configuration」部分中的
。 勾選「Enabled」核取方塊,啟用識別資訊提供者。
如要停用內建識別資訊提供者,請取消勾選核取方塊。
按一下「儲存」。
根據電子郵件地址或網域限制入口網站註冊
如要限制入口網站註冊,請指定可在入口網站建立帳戶的個別電子郵件地址 (developer@some-company.com) 或電子郵件網域 (some-company.com,不含開頭的 @)。
如要比對所有巢狀子網域,請在網域或子網域前面加上 *. 萬用字元字串。舉例來說,*.example.com 會比對 test@example.com、test@dev.example.com 等。
如果這個欄位留空,即可在入口網站上註冊任何電子郵件地址。
如何依電子郵件地址或網域限制入口網站註冊:
- 存取「內建識別資訊提供者」頁面。
- 按一下「Provider Configuration」部分中的 。
- 在「帳戶限制」部分中,輸入要允許註冊的電子郵件地址或電子郵件網域,並在文字方塊中登入入口網站,然後按一下「+」。
- 視需要新增其他項目。
- 如要刪除項目,請按一下項目旁邊的「x」。
- 按一下 [儲存]。
設定電子郵件通知
請參閱設定 SMTP 伺服器。針對內建供應商,您可以啟用並設定下列電子郵件通知:
| 電子郵件通知 | 收件者 | 觸發條件 | 說明 |
|---|---|---|---|
| 帳戶通知 | API 供應商 | 入口網站使用者建立新帳戶 | 如果您將入口網站設定為必須手動啟用使用者帳戶,則必須先手動啟用使用者帳戶,入口網站使用者才能登入。 |
| 帳戶驗證 | 入口網站使用者 | 入口網站使用者建立新帳戶 | 提供安全連結,以驗證帳戶建立程序。連結將於 10 分鐘後失效。 |
設定電子郵件通知時:
- 使用 HTML 標記來設定文字格式。請務必傳送測試電子郵件,驗證格式是否正確無誤。
您可以插入下列一或多個變數,這些變數會在電子郵件通知傳送時取代。
變數 說明 {{firstName}}名字 {{lastName}}姓氏 {{email}}電子郵件地址 {{siteurl}}線上入口網站的連結 {{verifylink}}用於驗證帳戶的連結
如何設定電子郵件通知:
- 存取「內建識別資訊提供者」頁面。
如何設定傳送電子郵件通知給:
- 用於啟用新開發人員帳戶的 API 供應商,按一下「帳戶通知」部分中的 。
- 入口網站使用者如要驗證身分,請按一下「帳戶驗證」部分的 。
- 用於啟用新開發人員帳戶的 API 供應商,按一下「帳戶通知」部分中的
編輯「主旨」和「內文」欄位。
按一下「傳送測試電子郵件」將測試電子郵件傳送至您的電子郵件地址。
按一下「儲存」。
設定 SAML 識別資訊提供者 (Beta 版)
按照下列各節的說明設定 SAML 識別資訊提供者。
存取「SAML Identity Provider」頁面
如何存取 SAML 識別資訊提供者:
- 選取「發布」>「發布」入口網站的側邊導覽列,即可顯示入口網站清單。
- 在入口網站上按一下要查看團隊的列。
- 在入口網站到達網頁上按一下「帳戶」。 或者,您也可以在頂端導覽列的入口網站下拉式選單中選取「帳戶」。
- 按一下「Authentication」分頁標籤。
- 在「識別資訊提供者」部分,按一下「SAML 供應商類型」。
按照下列各節的說明設定 SAML 識別資訊提供者:
啟用 SAML 識別資訊提供者
如何啟用 SAML 識別資訊提供者:
- 存取 SAML 識別資訊提供者頁面。
- 按一下「Provider Configuration」部分中的 。
勾選「Enabled」核取方塊,啟用識別資訊提供者。
如要停用 SAML 識別資訊提供者,請取消選取核取方塊。
按一下 [儲存]。
如果您已設定自訂網域,請參閱透過 SAML 識別資訊提供者使用自訂網域一文。
進行 SAML 設定
如何進行 SAML 設定:
- 存取 SAML 識別資訊提供者頁面。
- 在「SAML Settings」部分,按一下 。
按一下 SP 中繼資料網址旁的「複製」。
使用服務供應商 (SP) 中繼資料檔案中的資訊設定 SAML 識別資訊提供者。
部分 SAML 識別資訊提供者只會提示您輸入中繼資料網址。若是其他商家,則需要從中繼資料檔案中擷取特定資訊,然後以表單形式輸入。
如果是後者,請將網址貼到瀏覽器,以下載服務供應商 (SP) 中繼資料檔案並擷取必要資訊。舉例來說,您可以透過 SP 中繼資料檔案中的下列元素,擷取實體 ID 或登入網址:<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login"><md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
調整識別資訊提供者的 SAML 設定。
在「SAML Settings」部分,編輯下列從 SAML 識別資訊提供者中繼資料檔案取得的值:
SAML 設定 說明 登入網址 系統會將使用者重新導向到 SAML 識別資訊提供者的網址。
例如:https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml登出網址 將使用者重新導向至 SAML 識別資訊提供者的網址。 在下列情況下,請將這個欄位留空:
- 您的 SAML 識別資訊提供者未提供登出網址
- 不希望使用者在登出整合入口網站時,登出您的 SAML 識別資訊提供者
- 如要啟用自訂網域 (請參閱已知問題)
IdP 實體 ID SAML 識別資訊提供者的專屬 ID。
例如:http://www.okta.com/exkhgdyponHIp97po0h7按一下 [儲存]。
為 SAML 識別資訊提供者設定自訂使用者屬性
為確保 SAML 識別資訊提供者和入口網站開發人員帳戶之間的對應正確,建議您為 SAML 識別資訊提供者建立並設定下表中定義的自訂使用者屬性。將每個自訂屬性的值設為 SAML 識別資訊提供者定義的對應使用者屬性 (例如 Okta)。
| 自訂屬性 | 範例 (Okta) |
|---|---|
first_name |
user.firstName |
last_name |
user.lastName |
email |
user.email |
以下說明如何使用 Okta 做為第三方 SAML 識別資訊提供者,設定自訂使用者屬性和 NameID 屬性。
透過 SAML 識別資訊提供者使用自訂網域
設定並啟用 SAML 識別資訊提供者後,即可設定自訂網域 (例如 developers.example.com),詳情請參閱自訂網域。
請務必讓自訂網域和 SAML 識別資訊提供者之間的配置設定保持同步。如果配置設定未保持同步,您在授權過程中可能會遇到問題。舉例來說,傳送給 SAML 識別資訊提供者的授權要求可能含有未使用自訂網域定義的 AssertionConsumerServiceURL。
如何讓自訂網域和 SAML 識別資訊提供者之間的配置設定保持同步:
如果您在啟用及設定 SAML 識別資訊提供者「之後」設定或更新自訂網域,請儲存自訂網域設定,並確保設定已啟用。請等待約 30 分鐘,讓快取失效,然後按照設置 SAML 設定中的說明,使用服務供應商 (SP) 中繼資料檔案中的更新資訊重新設定 SAML 識別資訊提供者。SP 中繼資料應會顯示您的自訂網域。
如果您在設定並啟用 SAML 識別資訊提供者「之前」設定自訂網域,則必須重設自訂網域 (請參閱下文),確保 SAML 識別資訊提供者設定正確無誤。
如果您需要重設 (停用並重新啟用) SAML 識別資訊提供者 (請參閱啟用 SAML 識別資訊提供者一節),則另請注意 重設自訂網域 (請參閱下文)。
重設自訂網域
如何重設 (停用及啟用) 自訂網域:
- 選取「發布」>「發布」入口網站,然後選取您的入口網站。
- 在頂端導覽列或到達網頁的下拉式選單中,選取「設定」。
- 按一下「Domains」分頁標籤。
- 按一下 [停用] 即可停用自訂網域。
- 如要重新啟用自訂網域,請按一下「啟用」。
詳情請參閱自訂網域。
上傳新憑證
如何上傳新憑證:
從 SAML 識別資訊提供者下載憑證。
針對您要上傳新憑證的識別區域,按一下對應的資料列。
在「Certificate」(憑證) 部分中,按一下
。按一下「Browse」,然後前往本機目錄中的憑證。
按一下「Open」上傳新憑證。
系統會更新憑證資訊欄位,以反映所選憑證。
驗證憑證是否有效且尚未過期。
按一下「儲存」。
將 x509 憑證轉換為 PEM 格式
如果您下載的是 x509 憑證,則必須轉換為 PEM 格式。
如何將 x509 憑證轉換為 PEM 格式:
- 從 SAML 識別資訊提供者中繼資料檔案複製
ds:X509Certificate element的內容,然後貼到您慣用的文字編輯器中。 - 在檔案頂端加入下列程式碼:
-----BEGIN CERTIFICATE----- - 在檔案底部新增下列程式碼:
-----END CERTIFICATE----- - 請使用
.pem副檔名儲存檔案。
以下提供 PEM 檔案內容範例:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----