הגדרת Edge כצד מהימן ב-ADFS IDP

אתם צופים במסמכי העזרה של Apigee Edge.
כניסה למסמכי העזרה של Apigee X. info

במסמך הזה מוסבר איך להגדיר את Microsoft Active Directory Federation Services‏ (ADFS) בתור ספק הזהויות של ארגון Edge שבו מופעל אימות SAML. בדוגמה הזו נעשה שימוש בגרסה 3.0 של ADFS ב-Windows 2012 R2.

מידע נוסף על הפעלת אימות SAML לארגון Edge זמין במאמר הפעלת אימות SAML ל-Edge.

הגדרת הצד הנסמך

1. פותחים את מסוף הניהול של ADFS.
2. מרחיבים את האפשרות Trust Relationships (יחסי אמון) במבנה העץ. התיקייה Relying Party Trusts מופיעה.
   
3. לוחצים לחיצה ימנית על Relying Party Trusts ובוחרים באפשרות Add Relying Party Trust כדי לפתוח את Relying Party Trust Wizard.
   
4. לוחצים על Start (התחלה) באשף כדי להתחיל.
5. בתיבת הדו-שיח Select Data Source, בוחרים באפשרות Import data about relying party published online or on a local network כדי לייבא את כתובת ה-URL של המטא-נתונים ש-Apigee סיפקה לכם, ולוחצים על Next.
   
6. מציינים את השם המוצג ולוחצים על הבא. כברירת מחדל, ADFS משתמש ב-zonename.login.apigee.com בתור השם המוצג. אפשר להשאיר אותו כפי שהוא או לשנות אותו ל-Apigee Edge בתור השם המוצג של הצד הנסמך.
   
7. בתיבת הדו-שיח Configure Multi-factor Authentication Now?, בוחרים באפשרות I do not want to configure multi-factor authentication settings for this relying party trust at this time ואז בוחרים באפשרות Next.
   
8. בתיבת הדו-שיח Choose Issuance Authorization Rules, בוחרים באפשרות Permit all users to access this relying party ולוחצים על Next.
   
9. בתיבת הדו-שיח Ready to Add Trust, בודקים את ההגדרות ולוחצים על Next כדי לשמור אותן.
   
10. לוחצים על Close כדי לסגור את האשף. תיפתח תיבת הדו-שיח Edit Claim Rules, כפי שמתואר בקטע הבא.

הוספת כללי הצהרות

תיבת הדו-שיח Edit claim rules אמורה להיפתח באופן אוטומטי אחרי שתשלימו את אשף האמון של הצד הנסמך בקטע הקודם. אם היא לא מופיעה, לוחצים על Edit Claim Rules בחלונית הימנית.

בקטע הזה מוסיפים שני כללי הצהרה.

1. לוחצים על Add Rule.
   
2. בקטע Choose Rule Type, מגדירים את Claim rule template בתור 'Send LDAP Attributes as Claims' ולוחצים על Next.
   
3. מציינים את הפרטים הבאים:
   • Claim rule name = כתובת אימייל
   • מאגר מאפיינים = Active Directory
   • Outgoing Claim Type = כתובת אימייל
     
4. לוחצים על סיום. תיבת הדו-שיח Edit claim rules מופיעה:
   
5. לוחצים על Add Rule כדי להוסיף הצהרה שנייה שממירה את ההצהרה הנכנסת.
6. בוחרים באפשרות Transform an Incoming Claim בתור תבנית של כלל הצהרה ולוחצים על Next:
   
7. מציינים את הפרטים הבאים:
   • Claim rule name = הצהרת אימייל נכנסת
   • Incoming Claim Type = כתובת אימייל
   • Outgoing claim type = מזהה שם
   • Outgoing name ID format = אימייל
     
8. לוחצים על אישור. בתיבת הדו-שיח Edit claim rules (עריכת כללי התלונה) אמורים להופיע שני כללי תלונה:
   
9. לוחצים על אישור. האמון החדש של צד הנסמך מופיע בעץ הניווט הימני.
10. לוחצים לחיצה ימנית על האמון בצד הנסמך ובוחרים באפשרות מאפיינים.
11. עוברים לכרטיסייה מתקדם. מגדירים את Secure hash algorithm (אלגוריתם לגיבוב מאובטח) לערך SHA-256 ולוחצים על Apply (אישור).
    

סיימתם את ההגדרה.