تفعيل SAML (تجريبي)

يتم الآن عرض مستندات Apigee Edge.
انتقِل إلى مستندات Apigee X.
المعلومات

يوضِّح هذا القسم كيفية تفعيل SAML لتطبيق Apigee Edge كي يتم تفويض المصادقة لأعضاء مؤسستك إلى خدمة الهوية الخاصة بك. للحصول على نظرة عامة حول إدارة SAML ومنطقة الهوية في Edge، يُرجى الاطِّلاع على نظرة عامة على SAML.

فيديو:يمكنك مشاهدة فيديو قصير للتعرّف على كيفية الوصول إلى واجهات برمجة تطبيقات Apigee Edge قبل تفعيل خدمة الدخول المُوحَّد (SSO) وبعدها باستخدام SAML.

لمحة عن دور مشرف المنطقة

يجب أن تكون مشرف المنطقة لإدارة مناطق الهوية في Edge. يوفّر دور مشرف المنطقة إجراءات CRUD الكاملة لإدارة مناطق الهوية فقط.

لتعيين دور مشرف المنطقة إلى حسابك على Apigee Edge، يُرجى التواصل مع فريق دعم Apigee Edge.

قبل البدء

قبل البدء، يمكنك الحصول على المعلومات التالية من موفِّر هوية SAML التابع لجهة خارجية:

  • شهادة التحقّق من التوقيع (بتنسيق PEM أو PKCSS) إذا لزم الأمر، حوِّل شهادة x509 إلى تنسيق PEM.
  • معلومات التكوين (موضحة في الجدول التالي)

    الإعدادات الوصف
    عنوان URL لتسجيل الدخول عنوان URL الذي تتم إعادة توجيه المستخدمين إليه لتسجيل الدخول إلى موفِّر هوية SAML.
    عنوان URL لتسجيل الخروج عنوان URL الذي تتم إعادة توجيه المستخدمين إليه لتسجيل الخروج من موفِّر هوية SAML.
    رقم تعريف كيان موفِّر الهوية عنوان URL فريد لموفِّر الهوية هذا مثال: https://idp.example.com/saml

بالإضافة إلى ذلك، يمكنك ضبط موفِّر هوية SAML التابع لجهة خارجية باستخدام الإعدادات التالية:

  • تأكَّد من ربط السمة NameID بعنوان البريد الإلكتروني للمستخدم. يُستخدم عنوان البريد الإلكتروني للمستخدم كمعرّف فريد لحساب مطوِّر Edge. في ما يلي مثال باستخدام Okta، حيث يحدّد حقل تنسيق رقم تعريف الاسم السمة NameID.

  • (اختياري) اضبط مدة الجلسة التي تمت مصادقتها على 15 يومًا لتتطابق مع مدة الجلسة التي تمت مصادقتها من خلال واجهة مستخدم Edge.

استكشاف صفحة إدارة منطقة الدخول المُوحَّد (SSO) على Edge

يمكنك إدارة مناطق الهوية في Edge باستخدام صفحة إدارة منطقة الدخول الموحَّد (SSO) على Edge. تتوفّر صفحة إدارة منطقة الدخول المُوحَّد (SSO) على Edge خارج مؤسستك، ما يتيح لك تعيين مؤسسات متعددة إلى منطقة الهوية نفسها.

للدخول إلى صفحة إدارة منطقة الدخول المُوحَّد (SSO) على Edge:

  1. سجِّل الدخول إلى https://apigee.com/edge باستخدام حساب مستخدم Apigee Edge لديه امتيازاتzoneadmin.
  2. اختَر المشرف > الدخول المُوحَّد (SSO) في شريط التنقّل الأيمن.

يتم عرض صفحة إدارة منطقة تسجيل الدخول الأحادي على Edge (خارج مؤسستك).

كما هو موضح في الشكل، تتيح لك صفحة إدارة منطقة تسجيل الدخول الأحادي على Edge إجراء ما يلي:

إضافة منطقة هوية

لإضافة منطقة هوية:

  1. الدخول إلى صفحة إدارة منطقة تسجيل الدخول الأحادي على Edge.
  2. في القسم "مناطق الهوية"، انقر على +.
  3. أدخِل اسمًا ووصفًا لمنطقة الهوية.
    يجب أن يكون اسم المنطقة فريدًا في جميع مؤسسات Edge.

    ملاحظة: تحتفظ Apigee بالحق في إزالة أي اسم منطقة يعتبر غير مبرر.

  4. أدخِل سلسلة لإلحاقها بالنطاق الفرعي إذا لزم الأمر.
    على سبيل المثال، إذا كان acme هو اسم المنطقة، ننصحك بتحديد منطقة إنتاج، acme-prod، ومنطقة اختبار، acme-test.
    لإنشاء منطقة الإنتاج، أدخِل prod كلاحقة النطاق الفرعي. في هذه الحالة، سيكون عنوان URL المستخدَم للوصول إلى واجهة مستخدم Edge هو: acme-prod.apigee.com، كما هو موضح في الوصول إلى مؤسستك باستخدام منطقة الهوية.

    ملاحظة: يجب أن تكون لاحقة النطاق الفرعي الملحق فريدة في جميع المناطق.

  5. انقر على OK (حسنًا).

  6. ضبط موفِّر هوية SAML

ضبط موفِّر هوية SAML

اضبط موفّر هوية SAML من خلال تنفيذ الخطوات التالية:

  1. ضبط إعدادات SAML
  2. تحميل شهادة جديدة
    إذا لزم الأمر، يمكنك تحويل شهادة x509 إلى تنسيق PEM.

ضبط إعدادات SAML

لضبط إعدادات SAML، عليك إجراء ما يلي:

  1. الدخول إلى صفحة إدارة منطقة تسجيل الدخول الأحادي على Edge.
  2. انقر على صف منطقة الهوية التي تريد ضبط موفِّر هوية SAML لها.
  3. في قسم إعدادات SAML، انقر على .
  4. انقر على نسخ بجوار عنوان URL للبيانات الوصفية لمقدم الخدمة.

  5. اضبط موفّر هوية SAML باستخدام المعلومات في ملف البيانات الوصفية لمقدّم الخدمة.

    بالنسبة إلى بعض موفِّري هوية SAML، سيُطلب منك عنوان URL للبيانات الوصفية فقط. وبالنسبة إلى حالات أخرى، سيكون عليك استخراج معلومات محدّدة من ملف البيانات الوصفية وإدخالها في نموذج.

    وفي الحالة الثانية، الصِق عنوان URL في متصفّح لتنزيل ملف البيانات الوصفية لمقدّم الخدمة واستخراج المعلومات المطلوبة. على سبيل المثال، يمكن استخراج رقم تعريف الكيان أو عنوان URL لتسجيل الدخول من العناصر التالية في ملف البيانات الوصفية لمقدّم الخدمة:

    ملاحظة: في ملف البيانات الوصفية لمقدّم الخدمة، يُشار إلى عنوان URL لتسجيل الدخول باسم "عنوان URL لخدمة AssertionConsumerService" (ACS).

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

    ملاحظة: إذا كان موفّر الهوية SAML مطلوبًا، اضبط تقييد الجمهور على zoneID.apigee-SAML-login، والذي يمكنك نسخه من عنصر entityID في ملف البيانات الوصفية لمقدم الخدمة (SP) (الموضّح أعلاه).

  6. اضبط إعدادات SAML لموفّر هوية SAML.

    في قسم إعدادات SAML، عدِّل القيم التالية التي تم الحصول عليها من ملف البيانات الوصفية لموفِّر هوية SAML:

    إعداد SAMLالوصف
    عنوان URL لتسجيل الدخولعنوان URL الذي تتم إعادة توجيه المستخدمين إليه لتسجيل الدخول إلى موفِّر هوية بوابة SAML.
    مثلاً: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    عنوان URL لتسجيل الخروجعنوان URL الذي تتم إعادة توجيه المستخدمين إليه لتسجيل الخروج من موفّر هوية بوابة SAML.
    ملاحظة: في حال لم يقدِّم موفِّر هوية SAML عنوان URL لتسجيل الخروج، اترك هذا الحقل فارغًا. وفي هذه الحالة، سيتم ضبطها على القيمة نفسها المستخدَمة لعنوان URL الخاص بتسجيل الدخول.
    رقم تعريف كيان موفِّر الهويةعنوان URL فريد لموفِّر هوية SAML.
    مثلاً: http://www.okta.com/exkhgdyponHIp97po0h7

    ملاحظة: بناءً على موفِّر هوية SAML، قد تتم تسمية هذا الحقل بشكل مختلف، مثل Entity ID وSP Entity ID وAudience URI وما إلى ذلك.

    ملاحظة: لا يتوافق الدخول الموحّد (SSO) في Apigee مع الميزتين التاليتين:

    • تتم إعادة التحميل التلقائي لشهادة موفِّر الهوية باستخدام عنوان URL للبيانات الوصفية لموفّر الهوية وتنزيل البيانات الوصفية بشكل دوري لتعديل التغييرات من جانب مقدِّم خدمة الدخول الموحّد في Apigee.
    • تحميل ملف XML للبيانات الوصفية لموفّر الهوية بالكامل أو استخدام عنوان URL للبيانات الوصفية لموفّر الهوية لضبط إعدادات موفّر الهوية تلقائيًا.

  7. انقر على حفظ.

بعد ذلك، حمِّل شهادة بتنسيق PEM أو PKCSS، كما هو موضّح في القسم التالي.

تحميل شهادة جديدة

لتحميل شهادة جديدة:

  1. نزِّل الشهادة للتحقق من التوقيع من موفِّر هوية SAML.

    ملاحظة: يجب أن تكون الشهادة بتنسيق PEM أو PKCSS. إذا لزم الأمر، حوِّل شهادة x509 إلى تنسيق PEM.

  2. الدخول إلى صفحة إدارة منطقة تسجيل الدخول الأحادي على Edge.

  3. انقر على صف منطقة الهوية التي تريد تحميل شهادة جديدة لها.

  4. في قسم الشهادة، انقر على .

  5. انقر على تصفّح وانتقِل إلى الشهادة في الدليل المحلي.

  6. انقر على فتح لتحميل الشهادة الجديدة.
    يتم تعديل حقول معلومات الشهادة لتعكس الشهادة التي تم اختيارها.

  7. التحقّق من صلاحية الشهادة وعدم انتهاء صلاحيتها.

  8. انقر على حفظ.

تحويل شهادة x509 إلى تنسيق PEM

في حال تنزيل شهادة x509، يجب تحويلها إلى تنسيق PEM.

لتحويل شهادة x509 إلى تنسيق PEM:

  1. انسخ محتوى ds:X509Certificate element من ملف البيانات الوصفية لموفِّر الهوية SAML والصقه في محرِّر النصوص المفضّل لديك.
  2. أضِف السطر التالي في أعلى الملف:
    -----BEGIN CERTIFICATE-----
  3. أضِف السطر التالي أسفل الملف:
    -----END CERTIFICATE-----
  4. احفظ الملف باستخدام الامتداد .pem.

في ما يلي مثال على محتوى ملف PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

ربط مؤسسة Edge بمنطقة هوية

لربط مؤسسة Edge بمنطقة هوية:

  1. الدخول إلى صفحة إدارة منطقة تسجيل الدخول الأحادي على Edge.
  2. في قسم تعيين المؤسسة، اختَر منطقة هوية في القائمة المنسدلة منطقة الهوية المرتبطة بالمؤسسة التي تريد تحديدها لمنطقة.
    اختَر بدون (Apigee تلقائي) لتفعيل المصادقة الأساسية للمؤسسة.
  3. انقر على تأكيد لتأكيد التغيير.

الوصول إلى مؤسستك باستخدام منطقة الهوية

يتم تحديد عنوان URL الذي تستخدمه للوصول إلى واجهة مستخدم Edge حسب اسم منطقة هويتك:

https://zonename.apigee.com

وبالمثل، يكون عنوان URL الذي تستخدمه للوصول إلى واجهة مستخدم Edge الكلاسيكي على النحو التالي:

https://zonename.enterprise.apigee.com

على سبيل المثال، تريد Acme Inc. استخدام SAML وتختار "acme" كاسم للمنطقة. ثم يصل عملاء Acme Inc. إلى واجهة مستخدم Edge باستخدام عنوان URL التالي:

https://acme.apigee.com

تحدِّد المنطقة مؤسسات Edge التي توفّر SAML. على سبيل المثال، تمتلك Acme Inc. ثلاث مؤسسات: OrgA وOrgB وOrgC. يمكن لشركة Acme اختيار إضافة جميع المؤسسات إلى منطقة SAML، أو إضافة مجموعة فرعية فقط. وتستمر المؤسسات المتبقية في استخدام الرموز المميزة للمصادقة الأساسية أو OAuth2 التي تم إنشاؤها من بيانات اعتماد المصادقة الأساسية.

يمكنك تحديد مناطق هوية متعدّدة. يمكن بعد ذلك ضبط جميع المناطق لاستخدام مزوّد الهوية نفسه.

على سبيل المثال، قد ترغب Acme في تحديد منطقة إنتاج، "acme-prod" تتضمن OrgAProd وOrgBProd، ومنطقة اختبار "acme-test" تحتوي على OrgATest وOrgBTest وOrgADev وOrgBDev.

بعد ذلك، يمكنك استخدام عناوين URL التالية للوصول إلى المناطق المختلفة:

https://acme-prod.apigee.com
https://acme-test.apigee.com

تسجيل مستخدمي Edge باستخدام مصادقة SAML

بعد تفعيل SAML لمؤسسة، تحتاج إلى تسجيل مستخدمي SAML غير المسجَّلين في مؤسستك. لمزيد من المعلومات، يُرجى الاطّلاع على إدارة مستخدمي المؤسسة.

تعديل النصوص البرمجية لتمرير رموز الدخول عبر OAuth2

بعد تفعيل SAML، يتم إيقاف المصادقة الأساسية لواجهة برمجة تطبيقات Edge. جميع النصوص البرمجية (النصوص البرمجية Maven والنصوص البرمجية من واجهة المستخدم وapigeetool وما إلى ذلك) التي تعتمد على طلبات البيانات من واجهة برمجة تطبيقات Edge التي تتوافق مع المصادقة الأساسية لن تعمل بعد الآن. يجب تعديل طلبات البيانات من واجهة برمجة التطبيقات والنصوص البرمجية التي تستخدم المصادقة الأساسية لتمرير رموز الدخول عبر OAuth2 في عنوان الحامل. يُرجى الاطّلاع على استخدام SAML مع واجهة برمجة تطبيقات Edge.

حذف منطقة هوية

لحذف منطقة هوية:

  1. الدخول إلى صفحة إدارة منطقة تسجيل الدخول الأحادي على Edge.
  2. ضَع مؤشر الماوس فوق الصف المرتبط بمنطقة الهوية التي تريد حذفها لعرض قائمة الإجراءات.
  3. انقر على
  4. انقر على حذف لتأكيد عملية الحذف.

تسجيل الخروج من صفحة إدارة منطقة الدخول الموحَّد (SSO) على Edge

بما أنّك تدير مناطق هوية Edge خارج مؤسستك، عليك تسجيل الخروج من صفحة "إدارة منطقة الدخول المُوحَّد (SSO) على Edge" ثم تسجيل الدخول إلى مؤسستك لتتمكّن من الوصول إلى ميزات Apigee Edge الأخرى.