Activer SAML (bêta)

Vous consultez la documentation d'Apigee Edge.
Consultez la documentation Apigee X.
en savoir plus

Cette section explique comment activer SAML pour Apigee Edge afin de déléguer l'authentification des membres de votre ou vos organisations à votre propre service de gestion des identités. Pour en savoir plus sur SAML et la gestion des zones d'identité dans Edge, consultez la présentation de SAML.

Vidéo: Regardez une courte vidéo pour savoir comment accéder aux API Apigee Edge avant et après l'activation de l'authentification unique (SSO) à l'aide de SAML.

À propos du rôle zoneadmin

Vous devez être un administrateur de zone pour gérer les zones d'identité dans Edge. Le rôle "zoneadmin" fournit des procédures CRUD complètes uniquement pour la gestion des zones d'identité.

Pour que le rôle d'administrateur de zone soit attribué à votre compte Apigee Edge, contactez l'assistance Apigee Edge.

Avant de commencer

Avant de commencer, demandez les informations suivantes auprès de votre fournisseur d'identité SAML tiers:

  • Certificat de validation de signature (au format PEM ou PKCSS). Si nécessaire, convertissez un certificat x509 au format PEM.
  • Informations de configuration (définies dans le tableau suivant)

    Configuration Description
    URL de connexion URL vers laquelle les utilisateurs sont redirigés pour se connecter au fournisseur d'identité SAML.
    URL de redirection après déconnexion URL vers laquelle les utilisateurs sont redirigés pour se déconnecter du fournisseur d'identité SAML.
    ID d'entité du fournisseur d'identité URL unique de ce fournisseur d'identité. Par exemple : https://idp.example.com/saml

En outre, configurez votre fournisseur d'identité SAML tiers avec les paramètres suivants:

  • Assurez-vous que l'attribut NameID est mappé avec l'adresse e-mail de l'utilisateur. L'adresse e-mail de l'utilisateur sert d'identifiant unique du compte de développeur Edge. Voici un exemple d'utilisation d'Okta, où le champ Name ID format (Format de l'ID du nom) définit l'attribut NameID.

  • (Facultatif) Définissez la durée de la session authentifiée sur 15 jours pour correspondre à celle de la durée de la session authentifiée de l'UI Edge.

Explorer la page d'administration des zones d'authentification unique Edge

Gérez les zones d'identité pour Edge à l'aide de la page d'administration des zones d'authentification unique Edge. La page d'administration des zones d'authentification unique Edge existe en dehors de votre organisation, ce qui vous permet d'affecter plusieurs organisations à la même zone d'identité.

Pour accéder à la page d'administration de la zone d'authentification unique Edge:

  1. Connectez-vous à https://apigee.com/edge à l'aide d'un compte utilisateur Apigee Edge disposant des droits d'administrateur de zone.
  2. Sélectionnez Admin > SSO (Admin > SSO) dans la barre de navigation de gauche.

La page d'administration de la zone d'authentification unique Edge s'affiche (en dehors de votre organisation).

Comme le montre la figure, la page d'administration des zones d'authentification unique Edge vous permet de:

Ajouter une zone d'identité

Pour ajouter une zone d'identité:

  1. Accédez à la page d'administration de la zone d'authentification unique Edge.
  2. Dans la section "Zones d'identité", cliquez sur +.
  3. Saisissez un nom et une description pour la zone d'identité.
    Le nom de la zone doit être unique dans toutes les organisations Edge.

    Remarque: Apigee se réserve le droit de supprimer tout nom de zone qui n'est pas justifié.

  4. Saisissez une chaîne à ajouter au sous-domaine, si nécessaire.
    Par exemple, si acme est le nom de la zone, vous pouvez définir une zone de production, acme-prod et une zone de test, acme-test.
    Pour créer la zone de production, saisissez prod comme suffixe de sous-domaine. Dans ce cas, l'URL utilisée pour accéder à l'interface utilisateur Edge est acme-prod.apigee.com, comme décrit dans la section Accéder à votre organisation à l'aide de la zone d'identité.

    Remarque: Le suffixe du sous-domaine ajouté doit être unique parmi toutes vos zones.

  5. Cliquez sur OK.

  6. Configurez le fournisseur d'identité SAML.

Configurer le fournisseur d'identité SAML

Configurez le fournisseur d'identité SAML en procédant comme suit:

  1. Configurez les paramètres SAML.
  2. Importez un nouveau certificat.
    Si nécessaire, convertissez un certificat x509 au format PEM.

Configurer les paramètres SAML

Pour configurer les paramètres SAML:

  1. Accédez à la page d'administration de la zone d'authentification unique Edge.
  2. Cliquez sur la ligne de la zone d'identité pour laquelle vous souhaitez configurer le fournisseur d'identité SAML.
  3. Dans la section SAML Settings (Paramètres SAML), cliquez sur .
  4. Cliquez sur Copier à côté de URL des métadonnées SP.

  5. Configurez votre fournisseur d'identité SAML à l'aide des informations contenues dans le fichier de métadonnées du fournisseur de services (SP).

    Pour certains fournisseurs d'identité SAML, vous ne serez invité qu'à indiquer l'URL des métadonnées. Pour les autres, vous devez extraire des informations spécifiques du fichier de métadonnées et les saisir dans un formulaire.

    Dans ce dernier cas, collez l'URL dans un navigateur pour télécharger le fichier de métadonnées SP et extraire les informations requises. Par exemple, l'ID d'entité ou l'URL de connexion peuvent être extraits des éléments suivants du fichier de métadonnées SP :

    Remarque: Dans le fichier de métadonnées SP, l'URL de connexion est appelée AssertionConsumerService (ACS).

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

    Remarque: Si votre fournisseur d'identité SAML l'exige, définissez la restriction d'audience sur zoneID.apigee-saml-login, que vous pouvez copier à partir de l'élément entityID du fichier de métadonnées du fournisseur de services (voir ci-dessus).

  6. Configurez les paramètres SAML pour le fournisseur d'identité SAML.

    Dans la section Paramètres SAML, modifiez les valeurs suivantes, obtenues dans le fichier de métadonnées de votre fournisseur d'identité SAML:

    Paramètre SAMLDescription
    URL de connexionURL vers laquelle les utilisateurs sont redirigés pour se connecter au fournisseur d'identité du portail SAML.
    Par exemple: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL de redirection après déconnexionURL vers laquelle les utilisateurs sont redirigés pour se déconnecter du fournisseur d'identité du portail SAML.
    Remarque: Si votre fournisseur d'identité SAML ne fournit pas d'URL de déconnexion, laissez ce champ vide. Dans ce cas, elle sera définie sur la même valeur que celle de l'URL de connexion.
    ID d'entité du fournisseur d'identitéURL unique du fournisseur d'identité SAML.
    Par exemple: http://www.okta.com/exkhgdyponHIp97po0h7

    Remarque:Selon le fournisseur d'identité SAML, ce champ peut être nommé différemment, par exemple Entity ID, SP Entity ID, Audience URI, etc.

    Remarque: L'authentification unique Apigee n'est pas compatible avec les deux fonctionnalités suivantes:

    • Actualisation automatique des certificats IdP en utilisant une URL de métadonnées IdP et en téléchargeant les métadonnées régulièrement pour mettre à jour les modifications du côté du fournisseur de services SSO Apigee.
    • Importez l'intégralité d'un fichier XML de métadonnées IdP ou utilisez une URL de métadonnées IdP pour la configuration automatique du fournisseur d'identité.

  7. Cliquez sur Enregistrer.

Ensuite, importez un certificat au format PEM ou PKCSS, comme décrit dans la section suivante.

Importer un nouveau certificat

Pour importer un nouveau certificat:

  1. Téléchargez le certificat de validation de la signature auprès de votre fournisseur d'identité SAML.

    Remarque: Le certificat doit être au format PEM ou PKCSS. Si nécessaire, convertissez un certificat x509 au format PEM.

  2. Accédez à la page d'administration de la zone d'authentification unique Edge.

  3. Cliquez sur la ligne de la zone d'identité pour laquelle vous souhaitez importer un nouveau certificat.

  4. Dans la section Certificate (Certificat), cliquez sur .

  5. Cliquez sur Browse (Parcourir), puis accédez au certificat dans votre répertoire local.

  6. Cliquez sur Ouvrir pour importer le nouveau certificat.
    Les champs d'informations sur le certificat sont mis à jour pour refléter le certificat sélectionné.

  7. Vérifiez que le certificat est valide et qu'il n'a pas expiré.

  8. Cliquez sur Enregistrer.

Convertir un certificat x509 au format PEM

Si vous téléchargez un certificat x509, vous devez le convertir au format PEM.

Pour convertir un certificat x509 au format PEM:

  1. Copiez le contenu du fichier ds:X509Certificate element à partir du fichier de métadonnées du fournisseur d'identité SAML et collez-le dans l'éditeur de texte de votre choix.
  2. Ajoutez la ligne suivante en haut du fichier:
    -----BEGIN CERTIFICATE-----
  3. Ajoutez la ligne suivante en bas du fichier:
    -----END CERTIFICATE-----
  4. Enregistrez le fichier avec l'extension .pem.

Vous trouverez ci-dessous un exemple de contenu de fichier PEM :

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Connecter une organisation de périphérie à une zone d'identité

Pour connecter une organisation de périphérie à une zone d'identité:

  1. Accédez à la page d'administration de la zone d'authentification unique Edge.
  2. Dans la section Mappage de l'organisation, sélectionnez une zone d'identité dans le menu déroulant Zone d'identité associé à l'organisation que vous souhaitez affecter à une zone.
    Sélectionnez Aucune (Apigee par défaut) afin d'activer l'authentification de base pour l'organisation.
  3. Cliquez sur Confirmer pour confirmer la modification.

Accéder à votre organisation à l'aide de la zone d'identité

L'URL que vous utilisez pour accéder à l'interface utilisateur Edge est définie par le nom de votre zone d'identité:

https://zonename.apigee.com

De même, l'URL que vous utilisez pour accéder à l'interface utilisateur Classic Edge est la suivante:

https://zonename.enterprise.apigee.com

Par exemple, Acme Inc. souhaite utiliser le protocole SAML et choisit "acme" comme nom de zone. Les clients d'Acme Inc. accèdent ensuite à l'interface utilisateur Edge à l'aide de l'URL suivante:

https://acme.apigee.com

La zone identifie les organisations périphériques compatibles avec SAML. Par exemple, Acme Inc. compte trois organisations: OrgA, OrgB et OrgC. Acme peut décider d'ajouter toutes les organisations à la zone SAML, ou uniquement un sous-ensemble. Les organisations restantes continuent à utiliser des jetons d'authentification de base ou OAuth2 générés à partir d'identifiants d'authentification de base.

Vous pouvez définir plusieurs zones d'identité. Toutes les zones peuvent ensuite être configurées pour utiliser le même fournisseur d'identité.

Par exemple, Acme peut vouloir définir une zone de production "acme-prod", contenant OrgAProd et OrgBProd, et une zone de test "acme-test", contenant OrgATest, OrgBTest, OrgADev et OrgBDev.

Vous utilisez ensuite les URL suivantes pour accéder aux différentes zones:

https://acme-prod.apigee.com
https://acme-test.apigee.com

Enregistrer les utilisateurs Edge à l'aide de l'authentification SAML

Après avoir activé SAML pour une organisation, vous devez enregistrer les utilisateurs SAML qui ne sont pas encore enregistrés auprès de votre organisation. Pour en savoir plus, consultez Gérer les utilisateurs de l'organisation.

Mettre à jour les scripts pour transmettre les jetons d'accès OAuth2

Une fois SAML, l'authentification de base est désactivée pour l'API Edge. Tous les scripts (Maven, shell, apigeetool, etc.) qui s'appuient sur des appels d'API Edge prenant en charge Basic Auth ne fonctionneront plus. Vous devez mettre à jour les appels d'API et les scripts qui utilisent l'authentification de base pour transmettre les jetons d'accès OAuth2 dans l'en-tête de support. Consultez la section Utiliser SAML avec l'API Edge.

Supprimer une zone d'identité

Pour supprimer une zone d'identité:

  1. Accédez à la page d'administration de la zone d'authentification unique Edge.
  2. Placez le curseur sur la ligne associée à la zone d'identité que vous souhaitez supprimer pour afficher le menu d'actions.
  3. Cliquez sur .
  4. Cliquez sur Supprimer pour confirmer la suppression.

Se déconnecter de la page d'administration de la zone d'authentification unique Edge

Étant donné que vous gérez des zones d'identité Edge en dehors de votre organisation, vous devez vous déconnecter de la page d'administration des zones d'authentification unique Edge, puis vous connecter à votre organisation pour pouvoir accéder aux autres fonctionnalités d'Apigee Edge.