Como configurar a borda como uma parte confiável no IdP do ADFS

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X. informações

Neste documento, descrevemos como configurar os Serviços de Federação do Microsoft Active Directory (ADFS, na sigla em inglês) como o provedor de identidade para uma organização de Edge que tem a autenticação SAML ativada. Este exemplo usa o Windows 2012 R2 ADFS 3.0 versão.

Saiba mais sobre como ativar a autenticação SAML para uma organização de Edge em Como ativar a autenticação SAML para o Edge.

Como configurar a parte confiável

1. Abra o console de gerenciamento do ADFS.
2. Expanda Relacionamentos de confiança na estrutura de árvore. A pasta Relying Party Trusts será exibida.
   
3. Clique com o botão direito do mouse em Relying Party Trusts e selecione Add Relying Party Trust para abrir o Relying Party Trust Trust.
   
4. Clique em Iniciar no assistente para começar.
5. Na caixa de diálogo Selecionar fonte de dados, use a opção Importar dados sobre a parte confiável publicada online ou em uma rede local para importar o URL de metadados fornecido a você pela Apigee e clique em Avançar.
   
6. Especifique o nome de exibição e clique em Próxima. Por padrão, o ADFS usa "zonename.login.apigee.com" como o nome de exibição. É possível deixá-lo ou alterá-lo para "Apigee Edge" como o nome de exibição da parte confiável.
   
7. Na caixa de diálogo Configurar a autenticação multifator agora?, selecione Não quero definir as configurações de autenticação multifator para essa confiança de terceira parte confiável no momento e selecione Próximo.
   
8. Na caixa de diálogo Escolher regras de autorização de emissão, selecione Permitir que todos os usuários acessem esta parte confiável e clique em Avançar.
   
9. Na caixa de diálogo Ready to Add Trust, revise as configurações e clique em Next para salvá-las.
   
10. Clique em Fechar para fechar o assistente. A caixa de diálogo Editar regras de declaração será exibida, conforme descrito na próxima seção.

Adicionar regras de reivindicação

A caixa de diálogo Editar regras de reivindicação será aberta automaticamente quando você concluir o Assistente de confiança de parte confiável na seção anterior. Se ela não aparecer, clique em Edit Claim Rules no painel à esquerda.

Nesta seção, você vai adicionar duas regras de reivindicação.

1. Clique em Add Rule.
   
2. Em Escolher tipo de regra, defina o Modelo de regra de declaração como “Enviar atributos LDAP como declarações” e clique em Próximo.
   
3. Especifique as seguintes informações:
   • Nome da regra de declaração = Endereço de e-mail
   • Repositório de atributos = Active Directory
   • Tipo de declaração de saída = endereço de e-mail
     
4. Clique em Finish. A caixa de diálogo Editar regras de declaração será exibida:
   
5. Clique em Add Rule para adicionar uma segunda declaração que transforme a declaração recebida.
6. Selecione Transform an Received Claim como o Modelo de regra de declaração e clique em Next:
   
7. Especifique as seguintes informações:
   • Nome da regra de reivindicação = Reivindicação por e-mail recebida
   • Tipo de reivindicação recebida = Endereço de e-mail
   • Tipo de reivindicação enviada = ID do nome
   • Formato do ID do nome enviado = e-mail
     
8. Clique em OK. Você verá duas regras de declaração na caixa de diálogo Editar regras de declaração:
   
9. Clique em OK. A nova parte confiável aparece na árvore de navegação à esquerda.
10. Clique com o botão direito do mouse no objeto de confiança da parte confiável e selecione Propriedades.
11. Navegue até a guia Avançado. Defina o Algoritmo de hash seguro como SHA-256 e clique em Aplicar.
    

Você concluiu a configuração.