在 ADFS IDP 中将 Edge 配置为依赖方

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档
信息

本文档介绍如何将 Microsoft Active Directory Federation Services (ADFS) 配置为已启用 SAML 身份验证的 Edge 组织的身份提供方。本示例使用的是 Windows 2012 R2 ADFS 3.0 版本。

如需了解如何为 Edge 组织启用 SAML 身份验证,请参阅为 Edge 启用 SAML 身份验证

配置依赖方

  1. 打开 ADFS 管理控制台。
  2. 在树结构中展开 Trust Relationships。此时将显示 Relying Party Trusts 文件夹。
  3. 右键点击 Relying Party Trusts,然后选择 Add Relying Party Trust 以打开 Relying Party Trust Wizard
  4. 在向导中点击开始即可开始。
  5. 选择数据源对话框中,使用导入有关在线或本地网络上发布的依赖方的数据选项,导入 Apigee 提供给您的元数据网址,然后点击下一步
  6. 指定显示名称,然后点击下一步。默认情况下,ADFS 使用“zonename.login.apigee.com”作为显示名称。您可以保留此名称,或将其更改为“Apigee Edge”作为依赖方显示名称。
  7. 在“立即配置多重身份验证?”对话框中,选择我目前不想为此依赖方信任配置多重身份验证设置,然后选择下一步
  8. Choose Issuance Authorization Rules 对话框中,选择 允许所有用户访问此依赖方,然后点击 Next
  9. Ready to Add Trust 对话框中,查看设置,然后点击 Next 保存您的设置。
  10. 点击 Close 以关闭向导。此时应显示 Edit Claim Rules 对话框,如下一部分中所述。

添加声明规则

完成上一部分中的信赖方信任向导后,编辑声明规则对话框将自动打开。如果未显示,请点击左侧面板中的 Edit Claim Rules

在本部分中,您将添加两条声明规则。

  1. 点击添加规则 (Add Rule)。
  2. Choose Rule Type(选择规则类型)中,将 Claim rule template 设置为“Send LDAP Attributes as Claims”,然后点击 Next
  3. 指定以下信息:
    • Claim rule name = 电子邮件地址
    • 属性存储 = Active Directory
    • Outgoing Claim Type(传出声明类型)= 电子邮件地址
  4. 点击完成。系统随即会显示修改声明规则对话框:
  5. 点击 Add Rule(添加规则)添加第二个声明,用于转换传入的声明。
  6. 选择 Transform an Inbound Claim 作为 Claim 规则模板,然后点击 Next
  7. 指定以下信息:
    • Claim rules name = 收到电子邮件声明
    • 接收的声明类型 = 电子邮件地址
    • 传出声明类型 = 名称 ID
    • 外发姓名 ID 格式 = 电子邮件地址
  8. 点击 OK。您应该会在修改声明规则对话框中看到两条声明规则:
  9. 点击 OK。新的依赖方信任会显示在左侧导航栏树中。
  10. 右键点击依赖方信任,然后选择 Properties
  11. 转到高级标签页。将安全哈希算法设置为 SHA-256,然后点击应用

您已完成配置。