Você está vendo a documentação do Apigee Edge.
Acesse a
documentação da Apigee X. informações
Nesta seção, descrevemos como ativar o SAML para o Apigee Edge para que a autenticação de membros da sua organização possa ser delegada ao próprio serviço de identidade. Para uma visão geral do SAML e do gerenciamento de zonas de identidade no Edge, consulte Visão geral do SAML.
Vídeo:assista um vídeo curto para saber como acessar as APIs Apigee Edge antes e depois de ativar o Logon único (SSO) usando SAML.
Sobre o papel zoneadmin
Você precisa ser um zoneadmin para gerenciar zonas de identidade no Edge. O papel zoneadmin fornece procedimentos CRUD completos apenas para o gerenciamento de zonas de identidade.
Para atribuir o papel zoneadmin à sua conta do Apigee Edge, entre em contato com o suporte do Apigee Edge.
Antes de começar
Antes de começar, acesse estas informações no seu provedor de identidade SAML de terceiros:
- Certificado para verificação de assinatura (formato PEM ou PKCSS). Se necessário, converta um certificado x509 para o formato PEM (em inglês).
Informações de configuração (definidas na tabela a seguir)
Configuração Descrição URL de login URL para onde os usuários são redirecionados para fazer login no provedor de identidade SAML. URL de êxito de logout URL para o qual os usuários são redirecionados para sair do provedor de identidade SAML. ID da entidade do IdP URL exclusivo deste provedor de identidade. Exemplo: https://idp.example.com/saml
Além disso, configure o provedor de identidade SAML de terceiros com estas configurações:
- Verifique se o atributo
NameID
está mapeado para o endereço de e-mail do usuário. O endereço de e-mail do usuário serve como o identificador exclusivo da conta de desenvolvedor do Edge. Confira a seguir um exemplo que usa o Okta, em que o campo Formato do ID de nome define o atributoNameID
. - (Opcional) Defina a duração da sessão autenticada como 15 dias para corresponder à duração da sessão autenticada na interface do usuário do Edge.
Conheça a página de administração da zona SSO no Edge
Gerencie zonas de identidade para o Edge usando a página Administração da Zona de SSO no Edge. A página de Administração da Zona de SSO de borda fora da sua organização, permitindo que você atribua várias organizações à mesma zona de identidade.
Para acessar a página de administração da zona de SSO no Edge:
- Faça login em https://apigee.com/edge usando uma conta de usuário do Apigee Edge com privilégios de zoneadmin.
- Selecione Admin > SSO na barra de navegação à esquerda.
.
A página "Administração da Zona de SSO de borda" aparece (fora da sua organização).
Como destacado na figura, a página "Administração da zona SSO de borda" permite que você:
- Ver todas as zonas de identidade
- Ver URL de login para cada zona
- Adicionar e excluir uma zona de identidade
- Configurar o provedor de identidade SAML
- Conectar uma organização de Edge a uma zona de identidade
- Excluir uma zona de identidade do portal
Adicionar uma zona de identidade
Para adicionar uma zona de identidade:
- Acesse a página de administração da Zona de SSO no Edge.
- Na seção "Zonas de identidade", clique em +.
Digite um nome e uma descrição para a zona de identidade.
O nome da zona precisa ser exclusivo em todas as organizações de Edge.Observação: a Apigee reserva o direito de remover qualquer nome de zona considerado injustificável.
Insira uma string para anexar ao subdomínio, se necessário.
Por exemplo, seacme
for o nome da zona, defina uma zona de produção,acme-prod
, e uma zona de teste,acme-test
.
Para criar a zona de produção, digite prod como o sufixo do subdomínio. Neste caso, o URL usado para acessar a interface do Edge seria:acme-prod.apigee.com
, conforme descrito em Acessar sua organização usando a zona de identidade.Observação: o sufixo do subdomínio anexado precisa ser exclusivo em todas as suas zonas.
Clique em OK.
Configurar o provedor de identidade SAML
Configure o provedor de identidade SAML seguindo estas etapas:
- Defina as configurações de SAML.
- Fazer upload de um novo certificado.
Se necessário, converta um certificado x509 para o formato PEM.
Configurar as definições de SAML
Para definir as configurações de SAML:
- Acesse a página de administração da Zona de SSO no Edge.
- Clique na linha da zona de identidade para configurar o provedor de identidade SAML.
- Na seção SAML Settings, clique em .
Clique em Copiar ao lado de URL de metadados do SP.
Configure seu provedor de identidade SAML usando as informações no arquivo de metadados do provedor de serviços (SP, na sigla em inglês).
Para alguns provedores de identidade SAML, será solicitado apenas o URL de metadados. Para outros, será necessário extrair informações específicas do arquivo de metadados e inseri-las em um formulário.
No último caso, cole o URL em um navegador para fazer o download do arquivo de metadados SP e extrair as informações necessárias. Por exemplo, o ID da entidade ou o URL de login pode ser extraído dos seguintes elementos no arquivo de metadados do SP:Observação: no arquivo de metadados do SP, o URL de login é chamado de URL do
AssertionConsumerService
(ACS).<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
Observação: se exigido pelo provedor de identidade SAML, defina a restrição de público como zoneID.apigee-saml-login, que você pode copiar do elemento
entityID
no arquivo de metadados do SP (mostrado acima).Defina as configurações de SAML para o provedor de identidade SAML.
Na seção SAML Settings, edite os seguintes valores recebidos do arquivo de metadados do provedor de identidade SAML:
Configuração de SAML Descrição URL de login URL para onde os usuários são redirecionados para fazer login no provedor de identidade do portal SAML.
Por exemplo:https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
URL de êxito de logout URL para o qual os usuários são redirecionados para sair do provedor de identidade do portal SAML.
Observação: se o seu provedor de identidade SAML não fornecer um URL de saída, deixe este campo em branco. Nesse caso, ele será definido com o mesmo valor usado para o URL de login.ID da entidade do IdP URL exclusivo do provedor de identidade SAML.
Por exemplo:http://www.okta.com/exkhgdyponHIp97po0h7
Observação:dependendo do provedor de identidade SAML, esse campo pode ter um nome diferente, como
Entity ID
,SP Entity ID
,Audience URI
etc.Observação: o SSO da Apigee não oferece suporte aos dois recursos a seguir:
- Atualização automática do certificado do IdP usando um URL de metadados do IdP e fazendo o download dos metadados periodicamente para atualizar as alterações no provedor de serviços de SSO da Apigee.
- Fazer upload de um arquivo XML inteiro de metadados do IdP ou usar um URL de metadados do IdP para configuração automática do IdP.
Clique em Salvar.
Em seguida, faça upload de um certificado em formato PEM ou PKCSS, conforme descrito na próxima seção.
Enviar um novo certificado
Para fazer upload de um novo certificado:
Faça o download do certificado para verificação de assinatura do seu provedor de identidade SAML.
Observação: o certificado precisa estar no formato PEM ou PKCSS. Se necessário, converta um certificado x509 para o formato PEM.
Clique na linha da zona de identidade para a qual você quer fazer upload de um novo certificado.
Na seção Certificado, clique em .
Clique em Browse e navegue até o certificado no seu diretório local.
Clique em Abrir para fazer o upload do novo certificado.
Os campos de informações do certificado são atualizados para refletir o certificado selecionado.
Verifique se o certificado é válido e não expirou.
Clique em Salvar.
Converter um certificado x509 para o formato PEM
Se você fizer o download de um certificado x509, será necessário convertê-lo para o formato PEM.
Para converter um certificado x509 para o formato PEM:
- Copie o conteúdo de
ds:X509Certificate element
do arquivo de metadados do provedor de identidade SAML e cole-o no seu editor de texto favorito. - Adicione a seguinte linha à parte de cima do arquivo:
-----BEGIN CERTIFICATE-----
- Adicione a linha abaixo à parte de baixo do arquivo:
-----END CERTIFICATE-----
- Salve o arquivo usando uma extensão
.pem
.
Veja a seguir um exemplo de conteúdo do arquivo PEM:
-----BEGIN CERTIFICATE-----
MIICMzCCAZygAwIBAgIJALiPnVsvq8dsMA0GCSqGSIb3DQEBBQUAMFMxCzAJBgNV
BAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNVBAcTA2ZvbzEMMAoGA1UEChMDZm9v
MQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2ZvbzAeFw0xMzAzMTkxNTQwMTlaFw0x
ODAzMTgxNTQwMTlaMFMxCzAJBgNVBAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNV
BAcTA2ZvbzEMMAoGA1UEChMDZm9vMQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2Zv
bzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAzdGfxi9CNbMf1UUcvDQh7MYB
OveIHyc0E0KIbhjK5FkCBU4CiZrbfHagaW7ZEcN0tt3EvpbOMxxc/ZQU2WN/s/wP
xph0pSfsfFsTKM4RhTWD2v4fgk+xZiKd1p0+L4hTtpwnEw0uXRVd0ki6muwV5y/P
+5FHUeldq+pgTcgzuK8CAwEAAaMPMA0wCwYDVR0PBAQDAgLkMA0GCSqGSIb3DQEB
BQUAA4GBAJiDAAtY0mQQeuxWdzLRzXmjvdSuL9GoyT3BF/jSnpxz5/58dba8pWen
v3pj4P3w5DoOso0rzkZy2jEsEitlVM2mLSbQpMM+MUVQCQoiG6W9xuCFuxSrwPIS
pAqEAuV4DNoxQKKWmhVv+J0ptMWD25Pnpxeq5sXzghfJnslJlQND
-----END CERTIFICATE-----
Conectar uma organização de Edge a uma zona de identidade
Para conectar uma organização de Edge a uma zona de identidade:
- Acesse a página de administração da Zona de SSO no Edge.
- Na seção Mapeamento da organização, selecione uma zona de identidade no menu suspenso Zona de identidade associado à organização que você quer atribuir a uma zona.
Selecione Nenhum (padrão da Apigee) para ativar a autenticação básica para a organização. - Clique em Confirmar para confirmar a mudança.
Acessar a organização usando a zona de identidade
O URL que você usa para acessar a IU do Edge é definido pelo nome da sua zona de identidade:
https://zonename.apigee.com
Da mesma forma, o URL que você usa para acessar a interface clássica do Edge é o seguinte:
https://zonename.enterprise.apigee.com
Por exemplo, Acme Inc. deseja usar SAML e escolhe "acme" como nome de zona. Os clientes da Acme Inc. acessam a interface do usuário do Edge com o seguinte URL:
https://acme.apigee.com
A zona identifica as organizações de Edge compatíveis com SAML. Por exemplo, a Acme Inc. tem três organizações: OrgA, OrgB e OrgC. A Acme pode adicionar todas as organizações à zona SAML ou apenas um subconjunto. As organizações restantes continuam usando tokens de autenticação básica ou OAuth2 gerados com base nas credenciais desse tipo.
É possível definir várias zonas de identidade. Todas as zonas podem ser configuradas para usar o mesmo provedor de identidade.
Por exemplo, a Acme pode definir a zona de produção "acme-prod", que contém OrgAProd e OrgBProd, e uma zona de teste, "acme-test", contendo OrgATest, OrgBTest, OrgADev e OrgBDev.
Em seguida, você usa os seguintes URLs para acessar as diferentes zonas:
https://acme-prod.apigee.com https://acme-test.apigee.com
Registrar usuários do Edge com a autenticação SAML
Depois de ativar o SAML para uma organização, você precisará registrar os usuários desse serviço que ainda não estão registrados nela. Veja mais informações em Gerenciar usuários da organização.
Atualizar scripts para transmitir tokens de acesso do OAuth2
Depois que você ativar o SAML, a Autenticação básica será desativada para a API Edge. Todos
os scripts (scripts Maven, scripts de shell, apigeetool
e assim por diante) que dependem de chamadas da API Edge
compatíveis com a autenticação básica não funcionarão mais. É necessário atualizar as chamadas de API e os scripts que usam a autenticação básica para transmitir tokens de acesso do OAuth2 no cabeçalho do portador. Consulte Como usar SAML com a API Edge.
Excluir uma zona de identidade
Para excluir uma zona de identidade:
- Acesse a página de administração da Zona de SSO no Edge.
- Posicione o cursor sobre a linha associada à zona de identidade que você quer excluir para exibir o menu de ações.
- Clique em .
- Clique em Excluir para confirmar a operação de exclusão.
Sair da página de administração da zona de SSO no Edge
Como você gerencia zonas de identidade do Edge fora da sua organização, precisará sair da página "Administração da Zona de SSO do Edge" e fazer login na sua organização para acessar outros recursos do Apigee Edge.