การกำหนดค่า Edge เป็น Relying Party ใน ADFS IDP

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล

เอกสารนี้จะอธิบายวิธีกำหนดค่า Microsoft Active Directory Federation Services (ADFS) เป็นผู้ให้บริการข้อมูลประจำตัวสำหรับองค์กร Edge ที่เปิดใช้การตรวจสอบสิทธิ์ SAML ตัวอย่างนี้ใช้ Windows 2012 R2 ADFS 3.0

โปรดดูข้อมูลการเปิดใช้การตรวจสอบสิทธิ์ SAML สำหรับองค์กร Edge ที่หัวข้อการเปิดใช้การตรวจสอบสิทธิ์ SAML สำหรับ Edge

การกำหนดค่าฝ่ายอ้างอิง

  1. เปิดคอนโซลการจัดการ ADFS
  2. ขยายความสัมพันธ์ของความน่าเชื่อถือในโครงสร้างต้นไม้ โฟลเดอร์ Relying Party Trusts จะปรากฏขึ้น
  3. คลิกขวาที่ Relying Party Trust แล้วเลือก Add Relying Party Trust เพื่อเปิด Relying Party Trust Wizard
  4. คลิกเริ่มต้นในวิซาร์ดเพื่อเริ่มต้น
  5. ในกล่องโต้ตอบเลือกแหล่งข้อมูล ให้ใช้ตัวเลือกนำเข้าข้อมูลเกี่ยวกับบุคคลที่เกี่ยวข้องที่เผยแพร่ออนไลน์หรือในเครือข่ายภายในเพื่อนำเข้า URL ของข้อมูลเมตาที่ Apigee มอบให้ แล้วคลิกถัดไป
  6. ระบุชื่อที่แสดง แล้วคลิกถัดไป โดยค่าเริ่มต้น ADFS จะใช้ “zonename.login.apigee.com” เป็นชื่อที่แสดง คุณจะปล่อยไว้หรือเปลี่ยนเป็น “Apigee Edge” ก็ได้ในฐานะชื่อที่แสดงของบุคคลที่เกี่ยวข้อง
  7. ในกล่องโต้ตอบ "กำหนดค่าการตรวจสอบสิทธิ์แบบหลายปัจจัยเลยไหม" ให้เลือกฉันไม่ต้องการกำหนดการตั้งค่าการตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับความน่าเชื่อถือของบุคคลที่พึ่งพานี้ในขณะนี้ แล้วเลือกถัดไป
  8. ในกล่องโต้ตอบ Choose Issuance Authorization Rules ให้เลือกอนุญาตให้ผู้ใช้ทั้งหมดเข้าถึงบุคคลที่พึ่งพานี้ และคลิกถัดไป
  9. ในกล่องโต้ตอบพร้อมเพิ่มความน่าเชื่อถือ ให้ตรวจสอบการตั้งค่าแล้วคลิกถัดไปเพื่อบันทึกการตั้งค่า
  10. คลิกปิดเพื่อปิดวิซาร์ด กล่องโต้ตอบแก้ไขกฎการอ้างสิทธิ์จะปรากฏขึ้นตามที่อธิบายไว้ในส่วนถัดไป

เพิ่มกฎการอ้างสิทธิ์

กล่องโต้ตอบแก้ไขกฎการอ้างสิทธิ์ควรเปิดขึ้นโดยอัตโนมัติเมื่อคุณทำตามวิซาร์ดความน่าเชื่อถือของฝ่ายที่เชื่อถือในส่วนก่อนหน้า หากกฎการอ้างสิทธิ์ไม่ปรากฏขึ้น ให้คลิกแก้ไขกฎการอ้างสิทธิ์ในแผงด้านซ้าย

ในส่วนนี้ คุณจะเพิ่มกฎการอ้างสิทธิ์ 2 ข้อ

  1. คลิกเพิ่มกฎ
  2. ในส่วนเลือกประเภทกฎ ให้ตั้งค่าเทมเพลตกฎการอ้างสิทธิ์เป็น “ส่งแอตทริบิวต์ LDAP เป็นการอ้างสิทธิ์” แล้วคลิกถัดไป
  3. ระบุข้อมูลต่อไปนี้
    • ชื่อกฎการอ้างสิทธิ์ = อีเมล
    • แอตทริบิวต์สโตร์ = Active Directory
    • ประเภทการอ้างสิทธิ์ขาออก = อีเมล
  4. คลิกเสร็จ กล่องโต้ตอบแก้ไขกฎการอ้างสิทธิ์จะปรากฏขึ้น
  5. คลิกเพิ่มกฎเพื่อเพิ่มการอ้างสิทธิ์รายการที่ 2 ที่เปลี่ยนรูปแบบการอ้างสิทธิ์ที่เข้ามาใหม่
  6. เลือกเปลี่ยนรูปแบบการอ้างสิทธิ์ขาเข้าเป็นเทมเพลตกฎการอ้างสิทธิ์ แล้วคลิกถัดไป:
  7. ระบุข้อมูลต่อไปนี้
    • ชื่อกฎการอ้างสิทธิ์ = การอ้างสิทธิ์อีเมลขาเข้า
    • ประเภทการอ้างสิทธิ์ที่เข้ามาใหม่ = ที่อยู่อีเมล
    • ประเภทการอ้างสิทธิ์ขาออก = รหัสชื่อ
    • รูปแบบรหัสชื่อขาออก = อีเมล
  8. คลิกตกลง คุณควรเห็นกฎการอ้างสิทธิ์ 2 ข้อในกล่องโต้ตอบแก้ไขกฎการอ้างสิทธิ์ ดังนี้
  9. คลิกตกลง ความน่าเชื่อถือฝ่ายที่พึ่งใหม่จะปรากฏในโครงสร้างการนำทางด้านซ้าย
  10. คลิกขวาที่ความน่าเชื่อถือของบริษัทอื่นที่เกี่ยวข้อง แล้วเลือกคุณสมบัติ
  11. ไปที่แท็บขั้นสูง ตั้งค่าอัลกอริทึมการแฮชที่ปลอดภัยเป็น SHA-256 แล้วคลิกใช้

คุณกำหนดค่าเสร็จสมบูรณ์แล้ว