SAML 사용 설정 (베타)

현재 Apigee Edge 문서가 표시되고 있습니다.
Apigee X 문서로 이동 정보

이 섹션에서는 조직 구성원의 인증을 자체 ID 서비스에 위임할 수 있도록 Apigee Edge용 SAML을 사용 설정하는 방법을 설명합니다. Edge의 SAML 및 ID 영역 관리 개요는 SAML 개요를 참조하세요.

동영상: 짧은 동영상을 통해 SAML을 사용하여 싱글 사인온 (SSO)을 사용 설정하기 전과 후에 Apigee Edge API에 액세스하는 방법을 알아보세요.

Zoneadmin 역할 정보

Edge에서 ID 영역을 관리하려면 zoneadmin이어야 합니다. zoneadmin 역할은 ID 영역만 관리하기 위한 전체 CRUD 절차를 제공합니다.

Apigee Edge 계정에 영역 관리자 역할을 할당하려면 Apigee Edge 지원팀에 문의하세요.

시작하기 전에

시작하기 전에 서드 파티 SAML ID 공급업체로부터 다음 정보를 받습니다.

  • 서명 확인을 위한 인증서 (PEM 또는 PKCSS 형식) 필요한 경우 x509 인증서를 PEM 형식으로 변환합니다.

  • 구성 정보 (다음 표에 정의됨)

    구성 설명
    로그인 URL 사용자가 SAML ID 공급업체에 로그인하도록 리디렉션되는 URL입니다.
    로그아웃 URL 사용자가 SAML ID 공급업체에서 로그아웃하도록 리디렉션되는 URL입니다.
    IDP 엔티티 ID 이 ID 공급업체의 고유 URL입니다. 예: https://idp.example.com/saml

또한 다음 설정으로 서드 파티 SAML ID 공급업체를 구성하세요.

  • NameID 속성이 사용자의 이메일 주소에 매핑되는지 확인합니다. 사용자의 이메일 주소는 Edge 개발자 계정의 고유 식별자 역할을 합니다. 다음은 Okta를 사용한 예를 보여줍니다. 여기서 이름 ID 형식 필드는 NameID 속성을 정의합니다.

  • (선택사항) Edge UI 인증 세션 시간과 일치하도록 인증된 세션 시간을 15일로 설정합니다.

에지 SSO 영역 관리 페이지 살펴보기

Edge SSO 영역 관리 페이지를 사용하여 Edge의 ID 영역을 관리하세요. 에지 SSO 영역 관리 페이지는 조직 외부에 있으므로 동일한 ID 영역에 여러 조직을 할당할 수 있습니다.

에지 SSO 영역 관리 페이지에 액세스하려면 다음 안내를 따르세요.

  1. zoneadmin 권한이 있는 Apigee Edge 사용자 계정을 사용하여 https://apigee.com/edge에 로그인합니다.
  2. 왼쪽 탐색 메뉴에서 관리자 > SSO를 선택합니다.

Edge SSO 영역 관리 페이지가 표시됩니다 (조직 외부).

그림에 강조 표시된 것처럼 에지 SSO 영역 관리 페이지에서 다음을 수행할 수 있습니다.

ID 영역 추가

ID 영역을 추가하려면 다음 안내를 따르세요.

  1. 에지 SSO 영역 관리 페이지에 액세스합니다.
  2. ID 영역 섹션에서 +를 클릭합니다.

  3. ID 영역의 이름과 설명을 입력합니다.
    영역 이름은 모든 에지 조직에서 고유해야 합니다.

    참고: Apigee는 부당하다고 간주되는 영역 이름을 삭제할 권리를 보유합니다.

  4. 필요한 경우 하위 도메인에 추가할 문자열을 입력합니다.
    예를 들어 영역 이름이 acme인 경우 프로덕션 영역(acme-prod)과 테스트 영역(acme-test)을 정의하는 것이 좋습니다.
    프로덕션 영역을 만들려면 하위 도메인 서픽스로 prod를 입력합니다. 이 경우 ID 영역을 사용하여 조직에 액세스에 설명된 대로 Edge UI에 액세스하는 데 사용되는 URL은 acme-prod.apigee.com입니다.

    참고: 추가된 하위 도메인 서픽스는 모든 영역에서 고유해야 합니다.

  5. OK(확인)를 클릭합니다.

  6. SAML ID 공급업체를 구성합니다.

SAML ID 공급업체 구성

다음 단계에 따라 SAML ID 공급업체를 구성합니다.

  1. SAML 설정 구성
  2. 새 인증서를 업로드합니다.
    필요한 경우 x509 인증서를 PEM 형식으로 변환하세요.

SAML 설정 구성

SAML 설정을 구성하려면 다음 안내를 따르세요.

  1. 에지 SSO 영역 관리 페이지에 액세스합니다.
  2. SAML ID 공급업체를 구성할 ID 영역의 행을 클릭합니다.
  3. SAML Settings 섹션에서 를 클릭합니다.

  4. SP 메타데이터 URL 옆에 있는 복사를 클릭합니다.

  5. 서비스 제공업체 (SP) 메타데이터 파일의 정보를 사용하여 SAML ID 공급업체를 구성합니다.

    일부 SAML ID 제공업체의 경우 메타데이터 URL만 입력하라는 메시지가 표시됩니다. 다른 경우에는 메타데이터 파일에서 특정 정보를 추출하여 양식에 입력해야 합니다.

    이후의 경우 URL을 브라우저에 붙여넣어 SP 메타데이터 파일을 다운로드하고 필수 정보를 추출합니다. 예를 들어 SP 메타데이터 파일의 다음 요소에서 엔티티 ID나 로그인 URL을 추출할 수 있습니다.

    참고: SP 메타데이터 파일에서는 로그인 URL을 AssertionConsumerService (ACS) URL이라고 합니다.

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

    참고: SAML ID 공급업체에서 요구하는 경우 잠재고객 제한을 zoneID.apigee-saml-login으로 설정하세요. 이 값은 SP 메타데이터 파일의 entityID 요소에서 복사할 수 있습니다 (위 그림 참고).

  6. SAML ID 공급업체의 SAML 설정을 구성합니다.

    SAML Settings(SAML 설정) 섹션에서 SAML ID 공급업체 메타데이터 파일에서 가져온 다음 값을 수정합니다.

    SAML 설정설명
    로그인 URL사용자가 SAML 포털 ID 공급업체에 로그인하도록 리디렉션되는 URL입니다.
    예: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    로그아웃 URL사용자가 SAML 포털 ID 공급업체에서 로그아웃하도록 리디렉션되는 URL입니다.
    참고: SAML ID 공급업체에서 로그아웃 URL을 제공하지 않으면 이 입력란을 비워 두세요. 이 경우에는 로그인 URL에 사용된 것과 동일한 값으로 설정됩니다.
    IDP 엔티티 IDSAML ID 공급업체의 고유 URL입니다.
    예: http://www.okta.com/exkhgdyponHIp97po0h7

    참고: SAML ID 공급업체에 따라 Entity ID, SP Entity ID, Audience URI 등 필드 이름이 다르게 지정될 수 있습니다.

    참고: Apigee SSO는 다음 2가지 기능을 지원하지 않습니다.

    • IDP 메타데이터 URL을 사용하고 메타데이터를 정기적으로 다운로드하여 Apigee SSO 서비스 제공업체 측의 변경사항을 업데이트하는 방식으로 IDP 인증서를 자동으로 새로고침합니다.
    • 전체 IDP 메타데이터 XML 파일을 업로드하거나 자동 IDP 구성에 IDP 메타데이터 URL을 사용합니다.

  7. 저장을 클릭합니다.

그런 다음, 다음 섹션에 설명된 대로 PEM 또는 PKCSS 형식으로 인증서를 업로드합니다.

새 인증서 업로드

새 인증서를 업로드하려면 다음 안내를 따르세요.

  1. 서명 확인을 위해 SAML ID 공급업체에서 받은 인증서를 다운로드합니다.

    참고: 인증서는 PEM 또는 PKCSS 형식이어야 합니다. 필요한 경우 x509 인증서를 PEM 형식으로 변환합니다.

  2. 에지 SSO 영역 관리 페이지에 액세스합니다.

  3. 새 인증서를 업로드할 ID 영역의 행을 클릭합니다.

  4. 인증서 섹션에서 을 클릭합니다.

  5. 찾아보기를 클릭하고 로컬 디렉터리의 인증서로 이동합니다.

  6. 열기를 클릭하여 새 인증서를 업로드합니다.
    선택한 인증서가 반영되도록 인증서 정보 필드가 업데이트됩니다.

  7. 인증서가 유효하고 만료되지 않은지 확인합니다.

  8. 저장을 클릭합니다.

x509 인증서를 PEM 형식으로 변환

x509 인증서를 다운로드한 경우 PEM 형식으로 변환해야 합니다.

x509 인증서를 PEM 형식으로 변환하려면 다음 단계를 따르세요.

  1. SAML ID 공급업체 메타데이터 파일에서 ds:X509Certificate element의 내용을 복사하여 원하는 텍스트 편집기에 붙여넣습니다.
  2. 파일 상단에 다음 줄을 추가합니다.
    -----BEGIN CERTIFICATE-----
  3. 파일 하단에 다음 줄을 추가합니다.
    -----END CERTIFICATE-----
  4. .pem 확장자를 사용하여 파일을 저장합니다.

다음은 PEM 파일 내용의 예를 제공합니다.

-----BEGIN CERTIFICATE-----
MIICMzCCAZygAwIBAgIJALiPnVsvq8dsMA0GCSqGSIb3DQEBBQUAMFMxCzAJBgNV
BAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNVBAcTA2ZvbzEMMAoGA1UEChMDZm9v
MQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2ZvbzAeFw0xMzAzMTkxNTQwMTlaFw0x
ODAzMTgxNTQwMTlaMFMxCzAJBgNVBAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNV
BAcTA2ZvbzEMMAoGA1UEChMDZm9vMQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2Zv
bzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAzdGfxi9CNbMf1UUcvDQh7MYB
OveIHyc0E0KIbhjK5FkCBU4CiZrbfHagaW7ZEcN0tt3EvpbOMxxc/ZQU2WN/s/wP
xph0pSfsfFsTKM4RhTWD2v4fgk+xZiKd1p0+L4hTtpwnEw0uXRVd0ki6muwV5y/P
+5FHUeldq+pgTcgzuK8CAwEAAaMPMA0wCwYDVR0PBAQDAgLkMA0GCSqGSIb3DQEB
BQUAA4GBAJiDAAtY0mQQeuxWdzLRzXmjvdSuL9GoyT3BF/jSnpxz5/58dba8pWen
v3pj4P3w5DoOso0rzkZy2jEsEitlVM2mLSbQpMM+MUVQCQoiG6W9xuCFuxSrwPIS
pAqEAuV4DNoxQKKWmhVv+J0ptMWD25Pnpxeq5sXzghfJnslJlQND
-----END CERTIFICATE-----

Edge 조직을 ID 영역에 연결

Edge 조직을 ID 영역에 연결하려면 다음 안내를 따르세요.

  1. 에지 SSO 영역 관리 페이지에 액세스합니다.
  2. 조직 매핑 섹션의 ID 영역 드롭다운 메뉴에서 영역에 할당하려는 조직과 연결된 ID 영역을 선택합니다.
    조직에 기본 인증을 사용 설정하려면 없음 (Apigee 기본값)을 선택합니다.
  3. 확인을 클릭하여 변경사항을 확인합니다.

ID 영역을 사용하여 조직에 액세스

Edge UI에 액세스하는 데 사용하는 URL은 ID 영역 이름으로 정의됩니다.

https://zonename.apigee.com

마찬가지로 Classic Edge UI에 액세스하는 데 사용하는 URL은 다음과 같습니다.

https://zonename.enterprise.apigee.com

예를 들어 Acme Inc. 는 SAML을 사용하려고 하며 영역 이름으로 'acme'를 선택합니다. Acme Inc. 고객은 다음 URL로 Edge UI에 액세스합니다.

https://acme.apigee.com

영역은 SAML을 지원하는 Edge 조직을 식별합니다. 예를 들어 Acme Inc. 에는 OrgA, OrgB, OrgC라는 3개의 조직이 있습니다. Acme는 SAML 영역에 모든 조직을 추가할지, 아니면 하위 집합만 추가할지 결정할 수 있습니다. 나머지 조직은 기본 인증 사용자 인증 정보에서 생성된 기본 인증 또는 OAuth2 토큰을 계속 사용합니다.

여러 ID 영역을 정의할 수 있습니다. 그러면 동일한 ID 공급업체를 사용하도록 모든 영역을 구성할 수 있습니다.

예를 들어 Acme는 OrgAProd 및 OrgBProd를 포함하는 프로덕션 영역 'acme-prod'와 OrgATest, OrgBTest, OrgADev, OrgBDev를 포함하는 테스트 영역 'acme-test'를 정의할 수 있습니다.

그런 다음 다음 URL을 사용하여 다양한 영역에 액세스합니다.

https://acme-prod.apigee.com
https://acme-test.apigee.com

SAML 인증으로 Edge 사용자 등록

조직에 SAML을 사용 설정한 후에는 조직에 아직 등록되지 않은 SAML 사용자를 등록해야 합니다. 자세한 내용은 조직 사용자 관리하기를 참고하세요.

OAuth2 액세스 토큰을 전달하도록 스크립트 업데이트

SAML을 사용 설정하면 Edge API의 기본 인증이 사용 중지됩니다. 기본 인증을 지원하는 Edge API 호출을 사용하는 모든 스크립트 (Maven 스크립트, 셸 스크립트, apigeetool 등)가 더 이상 작동하지 않습니다. Bearer 헤더에서 OAuth2 액세스 토큰을 전달하려면 기본 인증을 사용하는 API 호출 및 스크립트를 업데이트해야 합니다. Edge API에 SAML 사용하기를 참조하세요.

ID 영역 삭제

ID 영역을 삭제하려면 다음 안내를 따르세요.

  1. 에지 SSO 영역 관리 페이지에 액세스합니다.
  2. 삭제하려는 ID 영역과 연결된 행 위에 커서를 가져가면 작업 메뉴가 표시됩니다.
  3. 아이콘을 클릭합니다.
  4. 삭제를 클릭하여 삭제 작업을 확인합니다.

에지 SSO 영역 관리 페이지에서 로그아웃하기

조직 외부의 Edge ID 영역을 관리하므로 Apigee Edge의 다른 기능에 액세스하려면 Edge SSO 영역 관리 페이지에서 로그아웃한 다음 조직에 로그인해야 합니다.