Habilitar SAML (beta)

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X. Información

En esta sección, se describe cómo habilitar SAML para Apigee Edge a fin de que la autenticación de los miembros de tus organizaciones se pueda delegar a tu propio servicio de identidad. Para obtener una descripción general de SAML y la administración de zonas de identidad en Edge, consulta la Descripción general de SAML.

Video: Mira un video breve para obtener más información sobre cómo acceder a las APIs de Apigee Edge antes y después de habilitar el inicio de sesión único (SSO) mediante SAML.

Acerca del rol de administrador de zonas

Debes ser zoneadmin para administrar las zonas de identidad en Edge. El rol de zoneadmin proporciona procedimientos de CRUD completos solo para administrar zonas de identidad.

Para asignar el rol de zoneadmin a tu cuenta de Apigee Edge, comunícate con el equipo de asistencia de Apigee Edge.

Antes de comenzar

Antes de comenzar, obtén la siguiente información del proveedor externo de identidad de SAML:

  • Certificado para verificación de firma (formato PEM o PKCSS) Si es necesario, convierte un certificado x509 a formato PEM.

  • Información de configuración (definida en la siguiente tabla)

    Configuración Descripción
    URL de acceso URL a la que se redirecciona a los usuarios para que accedan al proveedor de identidad de SAML.
    URL de cierre de sesión URL a la que se redirecciona a los usuarios para que salgan del proveedor de identidad de SAML.
    ID de entidad del IDP URL única para este proveedor de identidad. Por ejemplo: https://idp.example.com/saml

Además, configura tu proveedor de identidad SAML externo con los siguientes parámetros:

  • Asegúrate de que el atributo NameID esté asignado a la dirección de correo electrónico del usuario. La dirección de correo electrónico del usuario sirve como identificador único de la cuenta de desarrollador de Edge. A continuación, se muestra un ejemplo en el que se usa Okta, en el que el campo Formato del ID del nombre define el atributo NameID.

  • (Opcional) Establece la duración de la sesión autenticada en 15 días para que coincida con la duración de la sesión autenticada de la IU de Edge.

Explora la página de administración de la zona de SSO de Edge

Administra las zonas de identidad de Edge mediante la página Administración de zonas de SSO de Edge. La página de administración de zonas de SSO de Edge existe fuera de tu organización, lo que te permite asignar varias organizaciones a la misma zona de identidad.

Para acceder a la página de administración de la zona de SSO de Edge, haz lo siguiente:

  1. Accede a https://apigee.com/edge con una cuenta de usuario de Apigee Edge con privilegios de zoneadmin.
  2. Selecciona Administrador > SSO en la barra de navegación izquierda.

Aparecerá la página de administración de zonas de SSO de Edge (fuera de tu organización).

Como se destaca en la figura, la página Administración de zonas de SSO de Edge te permite hacer lo siguiente:

Agrega una zona de identidad

Para agregar una zona de identidad, haz lo siguiente:

  1. Accede a la página de administración de la zona de SSO de Edge.
  2. En la sección Zonas de identidad, haz clic en +.

  3. Ingresa un nombre y una descripción para la zona de identidad.
    El nombre de la zona debe ser único en todas las organizaciones de Edge.

    Nota: Apigee se reserva el derecho de quitar cualquier nombre de zona que se considere injustificado.

  4. Ingresa una cadena para adjuntar al subdominio, si es necesario.
    Por ejemplo, si acme es el nombre de la zona, puedes definir una zona de producción, acme-prod, y una zona de prueba, acme-test.
    Para crear la zona de producción, ingresa prod como sufijo de subdominio. En este caso, la URL que se usa para acceder a la IU de Edge sería la siguiente: acme-prod.apigee.com, como se describe en Accede a tu organización con la zona de identidad.

    Nota: El sufijo de subdominio agregado debe ser único en todas tus zonas.

  5. Haz clic en OK.

  6. Configura el proveedor de identidad de SAML.

Configura el proveedor de identidad SAML

Para configurar el proveedor de identidad SAML, sigue estos pasos:

  1. Establece la configuración de SAML.
  2. Sube un certificado nuevo.
    Si es necesario, convierte un certificado x509 a formato PEM.

Establece la configuración del SAML

Para configurar los parámetros de SAML, haz lo siguiente:

  1. Accede a la página de administración de la zona de SSO de Edge.
  2. Haz clic en la fila de la zona de identidad para la que quieres configurar el proveedor de identidad de SAML.
  3. En la sección Configuración de SAML, haz clic en .

  4. Haz clic en Copiar junto a la URL de metadatos de SP.

  5. Configura tu proveedor de identidad SAML con la información del archivo de metadatos del proveedor de servicios (SP).

    En el caso de algunos proveedores de identidad SAML, solo se te solicitará la URL de metadatos. Para otros, deberás extraer información específica del archivo de metadatos y, luego, ingresarla en un formulario.

    En el último caso, pega la URL en un navegador para descargar el archivo de metadatos SP y extraer la información requerida. Por ejemplo, el ID de entidad o la URL de acceso puede extraer los siguientes elementos en el archivo de metadatos SP:

    Nota: En el archivo de metadatos SP, la URL de acceso se conoce como la URL AssertionConsumerService (ACS).

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

    Nota: Si su proveedor de identidad de SAML lo requiere, establezca la restricción de público en zoneID.apigee-saml-login, que puede copiar desde el elemento entityID en el archivo de metadatos de SP (como se muestra arriba).

  6. Establece la configuración SAML para el Proveedor de identidad SAML.

    En la sección Configuración de SAML, edita los siguientes valores obtenidos del archivo de metadatos del proveedor de identidad SAML:

    Configuración de SAMLDescripción
    URL de accesoURL a la que se redirecciona a los usuarios para que accedan al proveedor de identidad del portal de SAML.
    Por ejemplo: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL de cierre de sesiónURL a la que se redirecciona a los usuarios para que salgan del proveedor de identidad del portal de SAML.
    Nota: Si tu proveedor de identidad de SAML no proporciona una URL de salida, deja este campo en blanco. En este caso, se establecerá con el mismo valor que se usó para la URL de acceso.
    ID de entidad del IDPURL única para el proveedor de identidad SAML.
    Por ejemplo: http://www.okta.com/exkhgdyponHIp97po0h7

    Nota: Según el proveedor de identidad de SAML, es posible que este campo tenga otro nombre, por ejemplo, Entity ID, SP Entity ID, Audience URI, etcétera.

    Nota: El SSO de Apigee no admite las siguientes 2 funciones:

    • Actualización automática del certificado de IdP a través de una URL de metadatos de IdP y descarga los metadatos periódicamente para actualizar los cambios del proveedor de servicios de SSO de Apigee.
    • Subir un archivo en formato XML de metadatos del IdP o usar una URL de metadatos de IdP para la configuración automática del IdP

  7. Haz clic en Guardar.

Luego, sube un certificado en formato PEM o PKCSS, como se describe en la siguiente sección.

Subir un nuevo certificado

Para subir un nuevo certificado, sigue estos pasos:

  1. Descarga el certificado para la verificación de firma de tu proveedor de identidad SAML.

    Nota: El certificado debe estar en formato PEM o PKCSS. Si es necesario, convierte un certificado x509 al formato PEM.

  2. Accede a la página de administración de la zona de SSO de Edge.

  3. Haz clic en la fila de la zona de identidad para la que quieres subir un certificado nuevo.

  4. En la sección Certificado, haz clic en .

  5. Haz clic en Browse y navega hasta el certificado en tu directorio local.

  6. Haz clic en Abrir para subir el certificado nuevo.
    Los campos de información del certificado se actualizan para reflejar el certificado seleccionado.

  7. Verifica que el certificado sea válido y no haya vencido.

  8. Haz clic en Guardar.

Convierte un certificado x509 a formato PEM

Si descargas un certificado x509, debes convertirlo a formato PEM.

Para convertir un certificado x509 a formato PEM, sigue estos pasos:

  1. Copia el contenido de ds:X509Certificate element del archivo de metadatos del proveedor de identidad de SAML y pégalo en el editor de texto que prefieras.
  2. Agrega la siguiente línea en la parte superior del archivo:
    -----BEGIN CERTIFICATE-----
  3. Agrega la siguiente línea en la parte inferior del archivo:
    -----END CERTIFICATE-----
  4. Guarda el archivo con una extensión .pem.

A continuación, se proporciona un ejemplo del contenido del archivo PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Conecta una organización de Edge a una zona de identidad

Para conectar una organización de Edge a una zona de identidad, haz lo siguiente:

  1. Accede a la página de administración de la zona de SSO de Edge.
  2. En la sección Asignación de la organización, selecciona una zona de identidad en el menú desplegable Zona de identidad asociada con la organización que deseas asignar a una zona.
    Selecciona Ninguna (configuración predeterminada de Apigee) para habilitar la autenticación básica en la organización.
  3. Haz clic en Confirmar para confirmar el cambio.

Accede a tu organización con la zona de identidad

La URL que usas para acceder a la IU de Edge se define por el nombre de tu zona de identidad:

https://zonename.apigee.com

Del mismo modo, la URL que usas para acceder a la IU clásica de Edge es la siguiente:

https://zonename.enterprise.apigee.com

Por ejemplo, Acme Inc. quiere usar SAML y elige "acme" como nombre de zona. Luego, los clientes de Acme Inc. acceden a la IU de Edge con la siguiente URL:

https://acme.apigee.com

La zona identifica las organizaciones de Edge que admiten SAML. Por ejemplo, Acme Inc. tiene tres organizaciones: OrgA, OrgB y OrgC. Acme puede decidir agregar todas las organizaciones a la zona SAML o solo un subconjunto. Las organizaciones restantes continúan usando tokens de OAuth2 o de autenticación básica generados a partir de credenciales de autenticación básica.

Puedes definir varias zonas de identidad. Todas las zonas se pueden configurar para usar el mismo proveedor de identidad.

Por ejemplo, Acme podría definir una zona de producción, "acme-prod", que contiene OrgAProd y OrgBProd, y una zona de prueba, "acme-test", que contiene OrgATest, OrgBTest, OrgADev y OrgBDev.

Luego, usa las siguientes URL para acceder a las diferentes zonas:

https://acme-prod.apigee.com
https://acme-test.apigee.com

Registra usuarios perimetrales con la autenticación SAML

Después de habilitar SAML para una organización, debes registrar los usuarios de SAML que aún no estén registrados en tu organización. Para obtener más información, consulta Administra los usuarios de la organización.

Actualiza secuencias de comandos para pasar tokens de acceso de OAuth2

Después de habilitar SAML, la autenticación básica se inhabilita para la API de Edge. Todas las secuencias de comandos (de Maven y de shell, apigeetool, etc.) que dependen de llamadas a la API de Edge compatibles con la autenticación básica dejarán de funcionar. Debes actualizar las llamadas a la API y las secuencias de comandos que usan la autenticación básica para pasar tokens de acceso de OAuth2 en el encabezado del portador. Consulta Usa SAML con la API de Edge.

Borra una zona de identidad

Para borrar una zona de identidad, haz lo siguiente:

  1. Accede a la página de administración de la zona de SSO de Edge.
  2. Coloca el cursor sobre la fila asociada a la zona de identidad que deseas borrar para que aparezca el menú de acciones.
  3. Haz clic en .
  4. Haz clic en Borrar para confirmar la operación.

Sal de la página de administración de la zona de SSO de Edge

Debido a que administras zonas de identidad de Edge fuera de tu organización, deberás salir de la página de administración de zonas de SSO de Edge y, luego, acceder a tu organización para poder acceder a otras funciones de Apigee Edge.