Como configurar a borda como uma parte confiável no IdP do ADFS

Você está visualizando a documentação do Apigee Edge.
Acesse a documentação da Apigee X. info

Este documento descreve como configurar os serviços de federação do Microsoft Active Directory (ADFS) como o provedor de identidade de uma organização do Edge que tem a autenticação SAML ativada. Este exemplo usa a versão 3.0 do ADFS do Windows 2012 R2.

Para saber como ativar a autenticação SAML em uma organização do Edge, consulte Como ativar a autenticação SAML no Edge.

Como configurar a parte confiável

1. Abra o console de gerenciamento do ADFS.
2. Expanda Relacionamentos de confiança na estrutura em árvore. A pasta Relações confiáveis de terceiros é exibida.
   
3. Clique com o botão direito do mouse em Confianças de terceira parte confiável e selecione Adicionar confiança de terceira parte confiável para abrir o assistente de confiança de terceira parte confiável.
   
4. Clique em Iniciar no assistente para começar.
5. Na caixa de diálogo Select Data Source, use a opção Import data about the relying party published online or on a local network para importar o URL de metadados fornecido pelo Apigee e clique em Next.
   
6. Especifique o nome de exibição e clique em Próxima. Por padrão, o ADFS usa "zonename.login.apigee.com" como o nome de exibição. Você pode deixar como está ou mudar para "Apigee Edge" como o nome de exibição da parte confiável.
   
7. Na caixa de diálogo Configurar a autenticação multifator agora?, selecione Não quero configurar as configurações de autenticação multifator para essa confiança de parte confiável no momento e selecione Próxima.
   
8. Na caixa de diálogo Choose Issuance Authorization Rules, selecione Permit all users to access this relying party e clique em Next.
   
9. Na caixa de diálogo Ready to Add Trust, revise as configurações e clique em Next para salvar.
   
10. Clique em Fechar para fechar o assistente. A caixa de diálogo Edit Claim Rules vai aparecer, conforme descrito na próxima seção.

Adicionar regras de reivindicação

A caixa de diálogo Edit claim rules será aberta automaticamente quando você concluir o Relying Party Trust Wizard na seção anterior. Se ela não aparecer, clique em Editar regras de reivindicação no painel à esquerda.

Nesta seção, você vai adicionar duas regras de declaração.

1. Clique em Add Rule.
   
2. Em Choose Rule Type, defina Claim rule template como “Send LDAP Attributes as Claims” e clique em Next.
   
3. Especifique as seguintes informações:
   • Claim rule name = Endereço de e-mail
   • Armazenamento de atributos = Active Directory
   • Outgoing Claim Type = E-Mail Address
     
4. Clique em Concluir. A caixa de diálogo Edit claim rules aparece:
   
5. Clique em Adicionar regra para adicionar uma segunda reivindicação que transforma a reivindicação de entrada.
6. Selecione Transformar uma reivindicação recebida como o Modelo de regra de reivindicação e clique em Próxima:
   
7. Especifique as seguintes informações:
   • Claim rule name = Incoming Email Claim
   • Tipo de reivindicação de entrada = endereço de e-mail
   • Tipo de declaração de saída = ID do nome
   • Formato do ID de nome de saída = E-mail
     
8. Clique em OK. Você vai encontrar duas regras de declaração na caixa de diálogo Editar regras de declaração:
   
9. Clique em OK. A nova relação de confiança com uma parte confiável aparece na árvore de navegação à esquerda.
10. Clique com o botão direito do mouse na confiança da parte confiável e selecione Propriedades.
11. Navegue até a guia Avançado. Defina o algoritmo de hash seguro como SHA-256 e clique em Aplicar.
    

Você concluiu a configuração.