SAML (Beta) aktivieren

Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation weitere Informationen

In diesem Abschnitt wird beschrieben, wie Sie SAML für Apigee Edge aktivieren, damit die Authentifizierung für Mitglieder Ihrer Organisation an Ihren eigenen Identitätsdienst delegiert werden kann. Eine Übersicht über SAML und die Verwaltung von Identitätszonen in Edge finden Sie unter Übersicht über SAML.

Video:In diesem kurzen Video erfahren Sie, wie Sie vor und nach der Aktivierung der Einmalanmeldung (SSO) mit SAML auf Apigee Edge APIs zugreifen.

Informationen zur Rolle „zoneadmin“

Sie müssen zoneadmin sein, um Identitätszonen in Edge zu verwalten. Die Rolle „zoneadmin“ bietet vollständige CRUD-Verfahren nur für die Verwaltung von Identitätszonen.

Wenn Ihrem Apigee Edge-Konto die Rolle „zoneadmin“ zugewiesen werden soll, wenden Sie sich an den Apigee Edge-Support.

Hinweis

Bevor Sie beginnen, holen Sie die folgenden Informationen von Ihrem SAML-Drittanbieter-Identitätsanbieter ein:

  • Zertifikat für die Signaturprüfung (PEM- oder PKCSS-Format). Falls erforderlich, konvertieren Sie ein x509-Zertifikat in das PEM-Format.

  • Konfigurationsinformationen (in der folgenden Tabelle definiert)

    Konfiguration Beschreibung
    Anmelde-URL URL, zu der Nutzer weitergeleitet werden, um sich beim SAML-Identitätsanbieter anzumelden.
    URL für Abmeldung URL, an die Nutzer weitergeleitet werden, um sich vom SAML-Identitätsanbieter abzumelden.
    IdP-Entitäts-ID Eindeutige URL für diesen Identitätsanbieter. Beispiel: https://idp.example.com/saml

Konfigurieren Sie außerdem Ihren SAML-Drittanbieter-Identitätsanbieter mit den folgenden Einstellungen:

  • Achten Sie darauf, dass das Attribut NameID der E-Mail-Adresse des Nutzers zugeordnet ist. Die E-Mail-Adresse des Nutzers dient als eindeutige Kennung des Edge-Entwicklerkontos. Im folgenden Beispiel wird Okta verwendet, wobei das Feld Name-ID-Format das Attribut NameID definiert.

  • (Optional) Legen Sie die Dauer der authentifizierten Sitzung auf 15 Tage fest, um der Dauer der authentifizierten Edge-UI-Sitzungsdauer zu entsprechen.

Seite zur Administration der Edge-SSO-Zone erkunden

Verwalten Sie Identitätszonen für Edge auf der Seite für die Edge-SSO-Zonenverwaltung. Die Seite für die Administration der Edge-SSO-Zone befindet sich außerhalb Ihrer Organisation, sodass Sie mehrere Organisationen derselben Identitätszone zuweisen können.

So greifen Sie auf die Seite für die Administration der Edge-SSO-Zone zu:

  1. Melden Sie sich unter https://apigee.com/edge mit einem Apigee Edge-Benutzerkonto mit zoneadmin-Berechtigungen an.
  2. Wählen Sie in der linken Navigationsleiste Admin > SSO (Verwaltung > SSO) aus.

Die Seite für die Edge-SSO-Zonenverwaltung wird angezeigt (außerhalb Ihrer Organisation).

Wie in der Abbildung hervorgehoben, können Sie auf der Seite für die Edge-SSO-Zonenverwaltung Folgendes tun:

Identitätszone hinzufügen

So fügen Sie eine Identitätszone hinzu:

  1. Rufen Sie die Seite zur Administration der Edge-SSO-Zone auf.
  2. Klicken Sie im Abschnitt „Identitätszonen“ auf +.

  3. Geben Sie einen Namen und eine Beschreibung für die Identitätszone ein.
    Der Zonenname muss in allen Edge-Organisationen eindeutig sein.

    Hinweis: Apigee behält sich das Recht vor, Zonennamen zu entfernen, die als ungerechtfertigt erachtet werden.

  4. Geben Sie einen String ein, der gegebenenfalls an die Subdomain angehängt werden soll.
    Wenn beispielsweise acme der Zonenname ist, sollten Sie eine Produktionszone, acme-prod, und eine Testzone, acme-test, definieren.
    Geben Sie zum Erstellen der Produktionszone prod als Subdomain-Suffix ein. In diesem Fall lautet die für den Zugriff auf die Edge-Benutzeroberfläche verwendete URL: acme-prod.apigee.com, wie unter Zugriff auf Ihre Organisation mithilfe der Identitätszone beschrieben.

    Hinweis: Das angehängte Subdomain-Suffix muss in allen Zonen eindeutig sein.

  5. Klicken Sie auf OK.

  6. SAML-Identitätsanbieter konfigurieren

SAML-Identitätsanbieter konfigurieren

So konfigurieren Sie den SAML-Identitätsanbieter:

  1. SAML-Einstellungen konfigurieren
  2. Laden Sie ein neues Zertifikat hoch.
    Bei Bedarf können Sie ein x509-Zertifikat in das PEM-Format konvertieren.

SAML-Einstellungen konfigurieren

So konfigurieren Sie die SAML-Einstellungen:

  1. Rufen Sie die Seite zur Administration der Edge-SSO-Zone auf.
  2. Klicken Sie auf die Zeile der Identitätszone, für die Sie den SAML-Identitätsanbieter konfigurieren möchten.
  3. Klicken Sie im Abschnitt SAML Settings (SAML-Einstellungen) auf .

  4. Klicken Sie neben der Metadaten-URL des Dienstanbieters auf Kopieren.

  5. Konfigurieren Sie Ihren SAML-Identitätsanbieter mithilfe der Informationen in der Metadatendatei des Dienstanbieters.

    Bei einigen SAML-Identitätsanbietern werden Sie nur zur Metadaten-URL aufgefordert. Bei anderen müssen Sie bestimmte Informationen aus der Metadatendatei extrahieren und in ein Formular einfügen.

    In letzterem Fall fügen Sie die URL in einen Browser ein, um die Metadatendatei für den Dienstanbieter herunterzuladen und die erforderlichen Informationen zu extrahieren. Zum Beispiel kann die Entitäts-ID oder die Anmelde-URL aus den folgenden Elementen der SP-Metadatendatei extrahiert werden:

    Hinweis: In der Metadatendatei des Dienstanbieters wird die Anmelde-URL als AssertionConsumerService-URL (ACS-URL) bezeichnet.

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

    Hinweis: Wenn dies für Ihren SAML-Identitätsanbieter erforderlich ist, legen Sie die Zielgruppenbeschränkung auf zoneID.apigee-saml-login fest. Sie können sie aus dem Element entityID in der Metadatendatei des Dienstanbieters kopieren (siehe oben).

  6. Konfigurieren Sie die SAML-Einstellungen für den SAML-Identitätsanbieter.

    Bearbeiten Sie im Abschnitt SAML Settings (SAML-Einstellungen) die folgenden Werte, die Sie aus der Metadatendatei des SAML-Identitätsanbieters erhalten haben:

    SAML-EinstellungBeschreibung
    Anmelde-URLURL, zu der Nutzer weitergeleitet werden, um sich beim Identitätsanbieter des SAML-Portals anzumelden.
    Beispiel: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL für AbmeldungURL, zu der Nutzer weitergeleitet werden, um sich vom Identitätsanbieter des SAML-Portals abzumelden.
    Hinweis: Wenn Ihr SAML-Identitätsanbieter keine Abmelde-URL bereitstellt, lassen Sie dieses Feld leer. In diesem Fall wird der Wert auf den Wert festgelegt, der für die Anmelde-URL verwendet wird.
    IdP-Entitäts-IDEindeutige URL für den SAML-Identitätsanbieter.
    Beispiel: http://www.okta.com/exkhgdyponHIp97po0h7

    Hinweis:Je nach SAML-Identitätsanbieter kann dieses Feld einen anderen Namen haben, z. B. Entity ID, SP Entity ID oder Audience URI.

    Hinweis: Die folgenden zwei Funktionen werden von Apigee SSO nicht unterstützt:

    • Automatische Aktualisierung des IdP-Zertifikats durch Verwenden einer IdP-Metadaten-URL und regelmäßiges Herunterladen der Metadaten, um Änderungen seitens des Apigee SSO-Dienstanbieters zu aktualisieren.
    • Sie laden eine vollständige XML-Datei mit IdP-Metadaten hoch oder verwenden eine Metadaten-URL für die automatische IdP-Konfiguration.

  7. Klicken Sie auf Speichern.

Laden Sie als Nächstes ein Zertifikat im PEM- oder PKCSS-Format hoch, wie im nächsten Abschnitt beschrieben.

Neues Zertifikat hochladen

So laden Sie ein neues Zertifikat hoch:

  1. Laden Sie das Zertifikat von Ihrem SAML-Identitätsanbieter zur Signaturprüfung herunter.

    Hinweis: Das Zertifikat muss im PEM- oder PKCSS-Format vorliegen. Konvertieren Sie ein x509-Zertifikat bei Bedarf in das PEM-Format.

  2. Rufen Sie die Seite zur Administration der Edge-SSO-Zone auf.

  3. Klicken Sie auf die Zeile mit der Identitätszone, für die Sie ein neues Zertifikat hochladen möchten.

  4. Klicken Sie im Abschnitt Zertifikat auf .

  5. Klicken Sie auf Browse (Durchsuchen) und gehen Sie in Ihrem lokalen Verzeichnis zum Zertifikat.

  6. Klicken Sie auf Öffnen, um das neue Zertifikat hochzuladen.
    Die Felder mit den Zertifikatinformationen werden entsprechend dem ausgewählten Zertifikat aktualisiert.

  7. Prüfen Sie, ob das Zertifikat gültig und nicht abgelaufen ist.

  8. Klicken Sie auf Speichern.

x509-Zertifikat in das PEM-Format konvertieren

Wenn Sie ein x509-Zertifikat herunterladen, müssen Sie es in das PEM-Format konvertieren.

So konvertieren Sie ein x509-Zertifikat in das PEM-Format:

  1. Kopieren Sie den Inhalt der Datei ds:X509Certificate element aus der Metadatendatei des SAML-Identitätsanbieters und fügen Sie ihn in Ihren bevorzugten Texteditor ein.
  2. Fügen Sie am Anfang der Datei die folgende Zeile ein:
    -----BEGIN CERTIFICATE-----
  3. Fügen Sie am Ende der Datei die folgende Zeile hinzu:
    -----END CERTIFICATE-----
  4. Speichern Sie die Datei mit der Erweiterung .pem.

Hier sehen Sie ein Beispiel für den Inhalt der PEM-Datei:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Edge-Organisation mit einer Identitätszone verbinden

So verbinden Sie eine Edge-Organisation mit einer Identitätszone:

  1. Rufen Sie die Seite zur Administration der Edge-SSO-Zone auf.
  2. Wählen Sie im Abschnitt Organisationszuordnung im Drop-down-Menü Identitätszone eine Identitätszone aus, die mit der Organisation verknüpft ist, die Sie einer Zone zuweisen möchten.
    Wählen Sie Keine (Apigee-Standardeinstellung) aus, um die Basisauthentifizierung für die Organisation zu aktivieren.
  3. Klicken Sie auf Bestätigen, um die Änderung zu bestätigen.

Über die Identitätszone auf Ihre Organisation zugreifen

Die URL, mit der Sie auf die Edge-Benutzeroberfläche zugreifen, wird durch den Namen Ihrer Identitätszone definiert:

https://zonename.apigee.com

Ebenso lautet die URL, mit der Sie auf die Classic Edge-Benutzeroberfläche zugreifen:

https://zonename.enterprise.apigee.com

Beispiel: Acme Inc. möchte SAML verwenden und wählt „acme“ als Zonennamen. Kunden von Acme Inc. greifen dann mit der folgenden URL auf die Edge-Benutzeroberfläche zu:

https://acme.apigee.com

Die Zone identifiziert die Edge-Organisationen, die SAML unterstützen. Acme Inc. hat beispielsweise drei Organisationen: OrgA, OrgB und OrgC. Acme kann entscheiden, ob alle Organisationen der SAML-Zone oder nur eine Teilmenge hinzugefügt werden soll. Die verbleibenden Organisationen verwenden weiterhin die Basisauthentifizierungs- oder OAuth2-Tokens, die mit Anmeldedaten für die Basisauthentifizierung generiert wurden.

Sie können mehrere Identitätszonen definieren. Alle Zonen können dann für die Verwendung desselben Identitätsanbieters konfiguriert werden.

Beispielsweise könnte Acme eine Produktionszone "acme-prod" mit OrgAProd und OrgBProd und eine Testzone "acme-test" mit OrgATest, OrgBTest, OrgADev und OrgBDev definieren.

Verwenden Sie dann die folgenden URLs, um auf die verschiedenen Zonen zuzugreifen:

https://acme-prod.apigee.com
https://acme-test.apigee.com

Edge-Nutzer mit SAML-Authentifizierung registrieren

Nachdem Sie SAML für eine Organisation aktiviert haben, müssen Sie die SAML-Nutzer registrieren, die noch nicht für Ihre Organisation registriert sind. Weitere Informationen finden Sie im Hilfeartikel Nutzer einer Organisation verwalten.

Skripts aktualisieren, um OAuth2-Zugriffstokens zu übergeben

Nachdem Sie SAML aktiviert haben, wird Basic Auth für die Edge API deaktiviert. Alle Skripts (Maven-Skripts, Shell-Skripts, apigeetool usw.), die auf Edge API-Aufrufen basieren, die die Basisauthentifizierung unterstützen, werden nicht mehr funktionieren. Sie müssen API-Aufrufe und Skripts aktualisieren, die die Basisauthentifizierung verwenden, um OAuth2-Zugriffstokens im Bearer-Header zu übergeben. Weitere Informationen finden Sie unter SAML mit der Edge API verwenden.

Identitätszone löschen

So löschen Sie eine Identitätszone:

  1. Rufen Sie die Seite zur Administration der Edge-SSO-Zone auf.
  2. Platzieren Sie den Cursor auf der Zeile, die der Identitätszone zugeordnet ist, die Sie löschen möchten, um das Aktionsmenü anzuzeigen.
  3. Klicken Sie auf .
  4. Klicken Sie auf Delete, um den Löschvorgang zu bestätigen.

Von der Seite zur Administration der Edge SSO-Zone abmelden

Da Sie Edge-Identitätszonen außerhalb Ihrer Organisation verwalten, müssen Sie sich von der Seite für die Edge-SSO-Zonenverwaltung abmelden und dann bei Ihrer Organisation anmelden, um auf andere Funktionen von Apigee Edge zugreifen zu können.