एसएएमएल चालू करें (बीटा वर्शन)

आपको Apigee Edge दस्तावेज़ दिख रहा है.
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है इस पेज पर जाएं Apigee X दस्तावेज़. जानकारी

इस सेक्शन में, Apigee Edge के लिए एसएएमएल को चालू करने का तरीका बताया गया है, ताकि आपके संगठन(संगठनों) के सदस्यों की पहचान की पुष्टि करने का काम, पहचान करने वाली आपकी सेवा को दिया जा सके. Edge में एसएएमएल और आइडेंटिटी ज़ोन मैनेजमेंट की खास जानकारी के लिए, एसएएमएल की खास जानकारी देखें.

ज़ोन एडमिन की भूमिका के बारे में जानकारी

Edge में आइडेंटिटी ज़ोन मैनेज करने के लिए, आपका zoneadmin होना ज़रूरी है. ज़ोन एडमिन की भूमिका, सिर्फ़ आइडेंटिटी ज़ोन मैनेज करने के लिए सीआरयूडी से जुड़ी सभी प्रोसेस उपलब्ध कराती है.

अपने Apigee Edge खाते को ज़ोनएडमिन की भूमिका असाइन करने के लिए, Apigee Edge की सहायता टीम से संपर्क करें.

शुरू करने से पहले

शुरू करने से पहले, तीसरे पक्ष के एसएएमएल आइडेंटिटी प्रोवाइडर से यह जानकारी लें:

• हस्ताक्षर की पुष्टि का सर्टिफ़िकेट (PEM या PKCSS फ़ॉर्मैट). अगर ज़रूरी हो, तो x509 सर्टिफ़िकेट को PEM फ़ॉर्मैट में बदलें

• कॉन्फ़िगरेशन की जानकारी (इस टेबल में दी गई है)

  कॉन्फ़िगरेशन	ब्यौरा
  साइन-इन करने के लिए यूआरएल	वह यूआरएल जिस पर उपयोगकर्ताओं को एसएएमएल आइडेंटिटी प्रोवाइडर में साइन इन करने के लिए रीडायरेक्ट किया जाता है.
  साइन-आउट यूआरएल	वह यूआरएल जिस पर उपयोगकर्ताओं को एसएएमएल आइडेंटिटी प्रोवाइडर से साइन आउट करने के लिए रीडायरेक्ट किया जाता है.
  आईडीपी (IdP) इकाई का आईडी	इस आइडेंटिटी प्रोवाइडर के लिए यूनीक यूआरएल. उदाहरण के लिए: https://idp.example.com/saml

इसके अलावा, नीचे दी गई सेटिंग की मदद से, तीसरे पक्ष की एसएएमएल आइडेंटिटी प्रोवाइडर को कॉन्फ़िगर करें:

• पक्का करें कि NameID एट्रिब्यूट को उपयोगकर्ता के ईमेल पते के साथ मैप किया गया हो. उपयोगकर्ता का ईमेल पता, Edge डेवलपर खाते के लिए यूनीक आइडेंटिफ़ायर के तौर पर काम करता है. यहां एक उदाहरण दिया गया है, जिसमें Okta का इस्तेमाल किया गया है. इसमें नाम के आईडी का फ़ॉर्मैट फ़ील्ड, NameID एट्रिब्यूट के बारे में बताता है.

  

• (ज़रूरी नहीं) Edge यूज़र इंटरफ़ेस (यूआई) से पुष्टि किए गए सेशन की अवधि को मैच करने के लिए, पुष्टि किए गए सेशन की अवधि को 15 दिन पर सेट करें.

Edge एसएसओ ज़ोन एडमिन पेज को एक्सप्लोर करें

Edge एसएसओ ज़ोन एडमिन पेज का इस्तेमाल करके, Edge के लिए आइडेंटिटी ज़ोन मैनेज करें. Edge एसएसओ ज़ोन एडमिन पेज आपके संगठन से बाहर होता है. इसकी मदद से, एक ही आइडेंटिटी ज़ोन के लिए कई संगठनों को असाइन किया जा सकता है.

एज एसएसओ ज़ोन एडमिन पेज को ऐक्सेस करने के लिए:

1. zoneadmin के खास अधिकारों वाले Apigee Edge उपयोगकर्ता खाते का इस्तेमाल करके, https://apigee.com/edge पर साइन इन करें.
   अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
2. एडमिन > एसएसओ (SSO) पर क्लिक करें.
   अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

Edge एसएसओ ज़ोन एडमिन पेज दिखता है (आपके संगठन के बाहर).

जैसा कि इमेज में हाइलाइट किया गया है, एज एसएसओ ज़ोन एडमिन पेज की मदद से ये काम किए जा सकते हैं:

• सभी आइडेंटिटी ज़ोन देखें
• हर ज़ोन के लिए लॉगिन यूआरएल देखें
• आइडेंटिटी ज़ोन जोड़ें और मिटाएं
• एसएएमएल आइडेंटिटी प्रोवाइडर को कॉन्फ़िगर करना
• Edge संगठन को आइडेंटिटी ज़ोन से कनेक्ट करना
• पोर्टल आइडेंटिटी ज़ोन मिटाना

आइडेंटिटी ज़ोन जोड़ें

आइडेंटिटी ज़ोन जोड़ने के लिए:

1. एज एसएसओ (SSO) ज़ोन एडमिन पेज को ऐक्सेस करें.
2. आइडेंटिटी ज़ोन सेक्शन में, + पर क्लिक करें.

3. आइडेंटिटी ज़ोन के लिए कोई नाम और ब्यौरा डालें.
   अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है सभी Edge संगठनों के लिए ज़ोन का नाम यूनीक होना चाहिए.

   ध्यान दें: Apigee के पास किसी भी ऐसे ज़ोन का नाम हटाने का अधिकार है जो गलत माना जाता है.

4. अगर ज़रूरी हो, तो सबडोमेन में जोड़ने के लिए कोई स्ट्रिंग डालें.
   अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है उदाहरण के लिए, अगर acme ज़ोन का नाम है, तो प्रोडक्शन ज़ोन, acme-prod, और टेस्ट ज़ोन acme-test तय किया जा सकता है.
   प्रोडक्शन ज़ोन बनाने के लिए, prod को सबडोमेन के सफ़िक्स के तौर पर डालें. इस मामले में, Edge के यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने के लिए इस्तेमाल किया जाने वाला यूआरएल यह होगा: acme-prod.apigee.com, जैसा कि आइडेंटिटी ज़ोन का इस्तेमाल करके अपने संगठन को ऐक्सेस करना में बताया गया है.

   ध्यान दें: जोड़ा गया सबडोमेन सफ़िक्स आपके सभी ज़ोन में यूनीक होना चाहिए.

5. ठीक है पर क्लिक करें.

6. एसएएमएल आइडेंटिटी प्रोवाइडर को कॉन्फ़िगर करें.

एसएएमएल आइडेंटिटी प्रोवाइडर को कॉन्फ़िगर करें

यह तरीका अपनाकर, एसएएमएल आइडेंटिटी प्रोवाइडर को कॉन्फ़िगर करें:

1. एसएएमएल की सेटिंग कॉन्फ़िगर करें.
2. एक नया प्रमाणपत्र अपलोड करें.
   अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है अगर ज़रूरी हो, तो x509 सर्टिफ़िकेट को PEM फ़ॉर्मैट में बदलें.

एसएएमएल की सेटिंग कॉन्फ़िगर करें

एसएएमएल की सेटिंग को कॉन्फ़िगर करने के लिए:

1. एज एसएसओ (SSO) ज़ोन एडमिन पेज को ऐक्सेस करें.
2. उस आइडेंटिटी ज़ोन की पंक्ति पर क्लिक करें जिसके लिए आपको एसएएमएल आइडेंटिटी प्रोवाइडर को कॉन्फ़िगर करना है.
3. SAML सेटिंग सेक्शन में, पर क्लिक करें.

4. एसपी मेटाडेटा यूआरएल के बगल में, कॉपी करें पर क्लिक करें.
   

5. सेवा देने वाली कंपनी (SP) की मेटाडेटा फ़ाइल में दी गई जानकारी का इस्तेमाल करके, अपने एसएएमएल आइडेंटिटी प्रोवाइडर को कॉन्फ़िगर करें.

   कुछ एसएएमएल पहचान देने वाली कंपनियों के लिए, आपको सिर्फ़ मेटाडेटा यूआरएल डालने के लिए कहा जाएगा. अन्य मामलों में, आपको मेटाडेटा फ़ाइल से खास जानकारी निकालनी होगी और उसे किसी फ़ॉर्म में डालना होगा.
   
   इसके बाद, एसपी मेटाडेटा फ़ाइल डाउनलोड करने और ज़रूरी जानकारी निकालने के लिए, यूआरएल को किसी ब्राउज़र में चिपकाएं. उदाहरण के लिए, एसपी मेटाडेटा फ़ाइल में मौजूद इन एलिमेंट में से, इकाई का आईडी या साइन इन यूआरएल निकाला जा सकता है:

   ध्यान दें: एसपी मेटाडेटा फ़ाइल में, साइन इन यूआरएल को AssertionConsumerService (ACS) यूआरएल कहा जाता है.

   • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
   • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

   ध्यान दें: अगर एसएएमएल आइडेंटिटी प्रोवाइडर के लिए ज़रूरी हो, तो ऑडियंस से जुड़ी पाबंदी को zoneID.apigee-saml-login पर सेट करें. इसे एसपी मेटाडेटा फ़ाइल के entityID एलिमेंट से कॉपी किया जा सकता है, जैसा कि ऊपर दिखाया गया है.

6. एसएएमएल आइडेंटिटी प्रोवाइडर के लिए, एसएएमएल सेटिंग को कॉन्फ़िगर करें.

   एसएएमएल सेटिंग सेक्शन में, एसएएमएल आइडेंटिटी प्रोवाइडर की मेटाडेटा फ़ाइल से मिली इन वैल्यू में बदलाव करें:

   एसएएमएल सेटिंग	ब्यौरा
   साइन-इन करने के लिए यूआरएल	वह यूआरएल जिस पर उपयोगकर्ताओं को एसएएमएल पोर्टल आइडेंटिटी प्रोवाइडर में साइन इन करने के लिए रीडायरेक्ट किया जाता है. उदाहरण के लिए: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
   साइन-आउट यूआरएल	वह यूआरएल जिस पर उपयोगकर्ताओं को एसएएमएल पोर्टल आइडेंटिटी प्रोवाइडर से साइन आउट करने के लिए रीडायरेक्ट किया जाता है. ध्यान दें: अगर एसएएमएल आइडेंटिटी प्रोवाइडर, साइन आउट करने के लिए यूआरएल नहीं देता है, तो इस फ़ील्ड को खाली छोड़ दें. इस मामले में, इसे उसी वैल्यू पर सेट किया जाएगा जो साइन इन यूआरएल के लिए इस्तेमाल किया गया था.
   आईडीपी (IdP) इकाई का आईडी	एसएएमएल आइडेंटिटी प्रोवाइडर के लिए यूनीक यूआरएल. उदाहरण के लिए: http://www.okta.com/exkhgdyponHIp97po0h7 ध्यान दें: एसएएमएल आइडेंटिटी प्रोवाइडर के आधार पर, इस फ़ील्ड का नाम अलग-अलग हो सकता है, जैसे कि Entity ID, SP Entity ID, Audience URI वगैरह.

   ध्यान दें: Apigee एसएसओ (SSO) में ये दो सुविधाएं काम नहीं करती हैं:

   • आईडीपी मेटाडेटा का यूआरएल इस्तेमाल करके और समय-समय पर मेटाडेटा डाउनलोड करके, अपने-आप आईडीपी सर्टिफ़िकेट को रीफ़्रेश किया जाता है, ताकि Apigee एसएसओ (SSO) सेवा देने वाली कंपनी की ओर से किए जा रहे बदलावों को अपडेट किया जा सके.
   • आईडीपी (IdP) मेटाडेटा की पूरी एक्सएमएल फ़ाइल अपलोड करना या अपने-आप आईडीपी (IdP) कॉन्फ़िगरेशन के लिए आईडीपी मेटाडेटा यूआरएल का इस्तेमाल करना.

7. सेव करें पर क्लिक करें.

इसके बाद, जैसा कि अगले सेक्शन में बताया गया है, PEM या PKCSS फ़ॉर्मैट में सर्टिफ़िकेट अपलोड करें.

एक नया प्रमाणपत्र अपलोड करें

एक नया सर्टिफ़िकेट अपलोड करने के लिए:

1. अपने एसएएमएल आइडेंटिटी प्रोवाइडर से हस्ताक्षर की पुष्टि कराने के लिए, सर्टिफ़िकेट डाउनलोड करें.

   ध्यान दें: सर्टिफ़िकेट PEM या PKCSS फ़ॉर्मैट में होना चाहिए. अगर ज़रूरी हो, तो x509 सर्टिफ़िकेट को PEM फ़ॉर्मैट में बदलें.

2. एज एसएसओ (SSO) ज़ोन एडमिन पेज को ऐक्सेस करें.

3. जिस आइडेंटिटी ज़ोन के लिए नया सर्टिफ़िकेट अपलोड करना है उसकी पंक्ति पर क्लिक करें.

4. सर्टिफ़िकेट सेक्शन में, पर क्लिक करें.

5. ब्राउज़ करें पर क्लिक करें और अपनी लोकल डायरेक्ट्री में मौजूद सर्टिफ़िकेट पर जाएं.

6. नया सर्टिफ़िकेट अपलोड करने के लिए, खोलें पर क्लिक करें.
   अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है सर्टिफ़िकेट की जानकारी वाले फ़ील्ड, चुने गए सर्टिफ़िकेट को दिखाने के लिए अपडेट किए जाते हैं.
   

7. पुष्टि करें कि सर्टिफ़िकेट मान्य है और उसकी समयसीमा खत्म नहीं हुई है.

8. सेव करें पर क्लिक करें.

x509 सर्टिफ़िकेट को PEM फ़ॉर्मैट में बदलें

अगर x509 सर्टिफ़िकेट डाउनलोड किया जाता है, तो आपको उसे PEM फ़ॉर्मैट में बदलना होगा.

किसी x509 सर्टिफ़िकेट को PEM फ़ॉर्मैट में बदलने के लिए:

1. एसएएमएल आइडेंटिटी प्रोवाइडर की मेटाडेटा फ़ाइल से ds:X509Certificate element का कॉन्टेंट कॉपी करें और अपने पसंदीदा टेक्स्ट एडिटर में चिपकाएं.
2. फ़ाइल के सबसे ऊपर यह लाइन जोड़ें:
   -----BEGIN CERTIFICATE-----
3. फ़ाइल के नीचे यह लाइन जोड़ें:
   -----END CERTIFICATE-----
4. .pem एक्सटेंशन का इस्तेमाल करके फ़ाइल सेव करें.

PEM फ़ाइल के कॉन्टेंट का एक उदाहरण यहां दिया गया है:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Edge संगठन को आइडेंटिटी ज़ोन से कनेक्ट करना

Edge संगठन को आइडेंटिटी ज़ोन से कनेक्ट करने के लिए:

1. एज एसएसओ (SSO) ज़ोन एडमिन पेज को ऐक्सेस करें.
2. संगठन की मैपिंग सेक्शन में जाकर, पहचान क्षेत्र के ड्रॉप-डाउन मेन्यू में जाकर, पहचान की पुष्टि करने वाला ज़ोन चुनें. यह मेन्यू उस संगठन से जुड़ा होगा जिसे आपको ज़ोन असाइन करना है.
   अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है संगठन के लिए बुनियादी पुष्टि की सुविधा चालू करने के लिए, कोई नहीं (Apigee डिफ़ॉल्ट) चुनें.
3. बदलाव की पुष्टि करने के लिए, पुष्टि करें पर क्लिक करें.

आइडेंटिटी ज़ोन का इस्तेमाल करके अपने संगठन को ऐक्सेस करना

Edge के यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने के लिए, जिस यूआरएल का इस्तेमाल किया जाता है उसे आपके आइडेंटिटी ज़ोन के नाम से तय किया जाता है:

https://zonename.apigee.com

इसी तरह, क्लासिक एज यूआई को ऐक्सेस करने के लिए, इस तरह का यूआरएल इस्तेमाल किया जाता है:

https://zonename.enterprise.apigee.com

उदाहरण के लिए, Acme Inc., एसएएमएल का इस्तेमाल करना चाहती है और "acme" चुनता है के तौर पर इसका नाम डालें. Acme इसके बाद, Inc. ग्राहक नीचे दिए गए यूआरएल से Edge के यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करते हैं:

https://acme.apigee.com

ज़ोन, एसएएमएल के साथ काम करने वाले Edge संगठनों की पहचान करता है. उदाहरण के लिए, Acme Inc. के पास तीन संगठन: OrgA, OrgB, और OrgC. Acme, सभी संगठनों को एसएएमएल ज़ोन में जोड़ने का फ़ैसला ले सकती है या सिर्फ़ सबसेट. बाकी संगठन, इनसे जनरेट हुए बुनियादी पुष्टि या OAuth2 टोकन का इस्तेमाल करना जारी रखेंगे पुष्टि के लिए बुनियादी क्रेडेंशियल.

एक से ज़्यादा आइडेंटिटी ज़ोन तय किए जा सकते हैं. इसके बाद, सभी ज़ोन को एक ही सेटिंग का इस्तेमाल करने के लिए कॉन्फ़िगर किया जा सकता है आइडेंटिटी प्रोवाइडर पर जाएं.

उदाहरण के लिए, हो सकता है कि Acme एक प्रोडक्शन ज़ोन, "acme-prod" तय करना चाहे जिसमें OrgAProd और OrgBProd और एक टेस्ट ज़ोन, "acme-test", जिसमें OrgATest, OrgBTest, OrgADev, और OrgBDev शामिल हैं.

इसके बाद, अलग-अलग ज़ोन ऐक्सेस करने के लिए इन यूआरएल का इस्तेमाल करें:

https://acme-prod.apigee.com
https://acme-test.apigee.com

Edge उपयोगकर्ताओं को एसएएमएल पुष्टि के साथ रजिस्टर करें

किसी संगठन के लिए एसएएमएल को चालू करने के बाद, आपको ऐसे एसएएमएल उपयोगकर्ताओं को रजिस्टर करना होगा जिन्हें आपके संगठन के साथ रजिस्टर नहीं है. ज़्यादा जानकारी के लिए, संगठन के उपयोगकर्ताओं को मैनेज करना लेख पढ़ें.

OAuth2 ऐक्सेस टोकन पास करने के लिए, स्क्रिप्ट अपडेट करें

एसएएमएल को चालू करने के बाद, Edge API के लिए बेसिक पुष्टि की सुविधा बंद हो जाती है. सभी ऐसी स्क्रिप्ट (Maven स्क्रिप्ट, शेल स्क्रिप्ट, apigeetool वगैरह) जो Edge पर निर्भर होती हैं बुनियादी पुष्टि के साथ काम करने वाले एपीआई कॉल अब काम नहीं करेंगे. आपको एपीआई कॉल अपडेट करने होंगे और बेयरर हेडर में OAuth2 ऐक्सेस टोकन पास करने के लिए, बेसिक पुष्टि का इस्तेमाल करने वाली स्क्रिप्ट. Edge API के साथ एसएएमएल का इस्तेमाल करना लेख पढ़ें.

आइडेंटिटी ज़ोन मिटाना

आइडेंटिटी ज़ोन मिटाने के लिए:

1. एज एसएसओ (SSO) ज़ोन एडमिन पेज को ऐक्सेस करें.
2. ऐक्शन मेन्यू दिखाने के लिए, अपना कर्सर उस आइडेंटिटी ज़ोन से जुड़ी लाइन पर रखें जिसे आपको मिटाना है.
3. पर क्लिक करें.
4. मिटाने की कार्रवाई की पुष्टि करने के लिए, मिटाएं पर क्लिक करें.

Edge एसएसओ ज़ोन एडमिन पेज से साइन आउट करें

एज आइडेंटिटी ज़ोन को अपने संगठन से बाहर मैनेज किया जा रहा है. इसलिए, Apigee Edge की अन्य सुविधाओं का ऐक्सेस पाने के लिए, आपको Edge एसएसओ ज़ोन एडमिन पेज से साइन आउट करना होगा. इसके बाद, अपने संगठन में साइन इन करना होगा.