在 ADFS IDP 中将 Edge 配置为依赖方

您正在查看 Apigee Edge 文档。
前往 Apigee X 文档
信息

本文档介绍了如何将 Microsoft Active Directory Federation Services (ADFS) 配置为已启用 SAML 身份验证的 Edge 组织的身份提供方。 此示例使用 Windows 2012 R2 ADFS 3.0 版本。

如需了解如何为 Edge 组织启用 SAML 身份验证,请参阅为 Edge 启用 SAML 身份验证

配置信赖方

  1. 打开 ADFS 管理控制台。
  2. 展开树结构中的 Trust Relationships。系统会显示 Relying Party Trusts 文件夹。
  3. 右键点击信赖方信任,然后选择添加信赖方信任以打开信赖方信任向导
  4. 在向导中点击开始即可开始。
  5. Select Data Source 对话框中,使用 Import data about the relying party published online or on a local network 选项导入 Apigee 为您提供的元数据网址,然后点击 Next
  6. 指定显示名称,然后点击下一步。默认情况下,ADFS 使用“zonename.login.apigee.com”作为显示名称。您可以保留此名称,也可以将其更改为“Apigee Edge”作为依赖方的显示名称。
  7. 在“立即配置多重身份验证?”对话框中,选择我目前不想为此依赖方信任配置多重身份验证设置,然后选择下一步
  8. Choose Issuance Authorization Rules 对话框中,选择 Permit all users to access this relying party,然后点击 Next
  9. Ready to Add Trust 对话框中,查看设置,然后点击 Next 保存设置。
  10. 点击关闭关闭向导。系统应显示修改版权主张规则对话框,如下一部分所述。

添加版权主张规则

当您完成上一部分中的依赖方信任向导后,系统应会自动打开修改声明规则对话框。如果未显示,请点击左侧面板中的修改版权主张规则

在本部分中,您将添加两条声明规则。

  1. 点击添加规则 (Add Rule)。
  2. 选择规则类型中,将声明规则模板设为“将 LDAP 属性作为声明发送”,然后点击下一步
  3. 请指定以下信息:
    • Claim rule name = 电子邮件地址
    • 属性存储 = Active Directory
    • 传出声明类型 = 电子邮件地址
  4. 点击完成。系统随即会显示修改声明规则对话框:
  5. 点击添加规则,添加用于转换传入声明的第二个声明。
  6. 选择 Transform an Incoming Claim 作为声明规则模板,然后点击 Next
  7. 请指定以下信息:
    • Claim rule name = Incoming Email Claim
    • Incoming Claim Type = 电子邮件地址
    • 传出声明类型 = 名称 ID
    • 传出名称 ID 格式 = 电子邮件
  8. 点击确定。您应该会在修改声明规则对话框中看到两个声明规则:
  9. 点击确定。新的信赖方信任会显示在左侧导航树中。
  10. 右键点击信赖方信任,然后选择属性
  11. 浏览到 Advanced(高级)标签页。将安全哈希算法设置为 SHA-256,然后点击应用

您已完成配置。