Como configurar a borda como uma parte confiável no IdP do ADFS

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X.
informações

Neste documento, descrevemos como configurar os Serviços de Federação do Microsoft Active Directory (ADFS, na sigla em inglês) como o provedor de identidade para uma organização de Edge que tem a autenticação SAML ativada. Este exemplo usa o Windows 2012 R2 ADFS 3.0 versão.

Saiba mais sobre como ativar a autenticação SAML para uma organização de Edge em Como ativar a autenticação SAML para o Edge.

Como configurar a parte confiável

  1. Abra o console de gerenciamento do ADFS.
  2. Expanda Relacionamentos de confiança na estrutura de árvore. A pasta Relying Party Trusts será exibida.
  3. Clique com o botão direito do mouse em Relying Party Trusts e selecione Add Relying Party Trust para abrir o Relying Party Trust Trust.
  4. Clique em Iniciar no assistente para começar.
  5. Na caixa de diálogo Selecionar fonte de dados, use a opção Importar dados sobre a parte confiável publicada online ou em uma rede local para importar o URL de metadados fornecido a você pela Apigee e clique em Avançar.
  6. Especifique o nome de exibição e clique em Próxima. Por padrão, o ADFS usa "zonename.login.apigee.com" como o nome de exibição. É possível deixá-lo ou alterá-lo para "Apigee Edge" como o nome de exibição da parte confiável.
  7. Na caixa de diálogo Configurar a autenticação multifator agora?, selecione Não quero definir as configurações de autenticação multifator para essa confiança de terceira parte confiável no momento e selecione Próximo.
  8. Na caixa de diálogo Escolher regras de autorização de emissão, selecione Permitir que todos os usuários acessem esta parte confiável e clique em Avançar.
  9. Na caixa de diálogo Ready to Add Trust, revise as configurações e clique em Next para salvá-las.
  10. Clique em Fechar para fechar o assistente. A caixa de diálogo Editar regras de declaração será exibida, conforme descrito na próxima seção.

Adicionar regras de reivindicação

A caixa de diálogo Editar regras de reivindicação será aberta automaticamente quando você concluir o Assistente de confiança de parte confiável na seção anterior. Se ela não aparecer, clique em Edit Claim Rules no painel à esquerda.

Nesta seção, você vai adicionar duas regras de reivindicação.

  1. Clique em Add Rule.
  2. Em Escolher tipo de regra, defina o Modelo de regra de declaração como “Enviar atributos LDAP como declarações” e clique em Próximo.
  3. Especifique as seguintes informações:
    • Nome da regra de declaração = Endereço de e-mail
    • Repositório de atributos = Active Directory
    • Tipo de declaração de saída = endereço de e-mail
  4. Clique em Finish. A caixa de diálogo Editar regras de declaração será exibida:
  5. Clique em Add Rule para adicionar uma segunda declaração que transforme a declaração recebida.
  6. Selecione Transform an Received Claim como o Modelo de regra de declaração e clique em Next:
  7. Especifique as seguintes informações:
    • Nome da regra de reivindicação = Reivindicação por e-mail recebida
    • Tipo de reivindicação recebida = Endereço de e-mail
    • Tipo de reivindicação enviada = ID do nome
    • Formato do ID do nome enviado = e-mail
  8. Clique em OK. Você verá duas regras de declaração na caixa de diálogo Editar regras de declaração:
  9. Clique em OK. A nova parte confiável aparece na árvore de navegação à esquerda.
  10. Clique com o botão direito do mouse no objeto de confiança da parte confiável e selecione Propriedades.
  11. Navegue até a guia Avançado. Defina o Algoritmo de hash seguro como SHA-256 e clique em Aplicar.

Você concluiu a configuração.