एसएएमएल चालू करें (बीटा वर्शन)

Apigee Edge दस्तावेज़ देखा जा रहा है.
Apigee X दस्तावेज़ पर जाएं. जानकारी

इस सेक्शन में बताया गया है कि Apigee Edge के लिए एसएएमएल को कैसे चालू किया जा सकता है, ताकि आपके संगठन(संगठनों) के सदस्यों की पहचान की पुष्टि करने वाली सेवा को, आपकी पहचान की पुष्टि करने वाली सेवा का ऐक्सेस दिया जा सके. Edge में एसएएमएल और आइडेंटिटी ज़ोन मैनेजमेंट की खास जानकारी के लिए, SAML की खास जानकारी देखें.

वीडियो: एसएएमएल का इस्तेमाल करके सिंगल साइन-ऑन (SSO) चालू करने से पहले और बाद में, Apigee Edge के एपीआई को ऐक्सेस करने का तरीका जानने के लिए, एक छोटा वीडियो देखें.

ज़ोन एडमिन की भूमिका के बारे में जानकारी

Edge में आइडेंटिटी ज़ोन मैनेज करने के लिए, आपको zoneadmin होना ज़रूरी है. ज़ोन एडमिन की भूमिका, सिर्फ़ आइडेंटिटी ज़ोन को मैनेज करने के लिए, सीआरयूडी की पूरी प्रोसेस उपलब्ध कराती है.

अपने Apigee Edge खाते को ज़ोन एडमिन की भूमिका असाइन करने के लिए, Apigee Edge की सहायता टीम से संपर्क करें.

शुरू करने से पहले

शुरू करने से पहले, अपने तीसरे पक्ष के एसएएमएल आइडेंटिटी प्रोवाइडर से यह जानकारी हासिल कर लें:

  • हस्ताक्षर की पुष्टि करने के लिए सर्टिफ़िकेट (पीईएम या पीकेसीएसएस फ़ॉर्मैट). अगर ज़रूरी हो, तो x509 सर्टिफ़िकेट को PEM फ़ॉर्मैट में बदलें

  • कॉन्फ़िगरेशन की जानकारी (नीचे दी गई टेबल में बताया गया है)

    कॉन्फ़िगरेशन ब्यौरा
    साइन-इन करने के लिए यूआरएल वह यूआरएल जिस पर उपयोगकर्ताओं को एसएएमएल के आइडेंटिटी प्रोवाइडर में साइन इन करने के लिए रीडायरेक्ट किया जाता है.
    साइन-आउट करने के लिए यूआरएल वह यूआरएल जिस पर उपयोगकर्ताओं को एसएएमएल आइडेंटिटी प्रोवाइडर से साइन आउट करने के लिए रीडायरेक्ट किया जाता है.
    आईडीपी (IdP) इकाई का आईडी इस आइडेंटिटी प्रोवाइडर के लिए यूनीक यूआरएल. उदाहरण के लिए: https://idp.example.com/saml

इसके अलावा, इन सेटिंग के साथ अपने तीसरे पक्ष के एसएएमएल आइडेंटिटी प्रोवाइडर को कॉन्फ़िगर करें:

  • पक्का करें कि NameID एट्रिब्यूट को उपयोगकर्ता के ईमेल पते से मैप किया गया हो. उपयोगकर्ता का ईमेल पता, Edge डेवलपर खाते के यूनीक आइडेंटिफ़ायर के तौर पर काम करता है. यहां Okta का इस्तेमाल करने वाला एक उदाहरण दिया गया है. इसमें नाम आईडी फ़ॉर्मैट फ़ील्ड, NameID एट्रिब्यूट की जानकारी देता है.

  • (ज़रूरी नहीं) Edge यूज़र इंटरफ़ेस (यूआई) की पुष्टि किए गए सेशन की अवधि से मेल खाने के लिए, पुष्टि किए गए सेशन की अवधि 15 दिन पर सेट करें.

Edge एसएसओ (SSO) ज़ोन एडमिन पेज को एक्सप्लोर करें

Edge एसएसओ (SSO) ज़ोन एडमिन पेज का इस्तेमाल करके, Edge के लिए आइडेंटिटी ज़ोन मैनेज करें. Edge एसएसओ (SSO) ज़ोन एडमिन पेज आपके संगठन से बाहर मौजूद है. इसकी मदद से एक ही आइडेंटिटी ज़ोन के लिए, कई संगठनों को असाइन किया जा सकता है.

Edge एसएसओ (SSO) ज़ोन एडमिन पेज को ऐक्सेस करने के लिए:

  1. zoneadmin के खास अधिकारों वाले Apigee Edge के उपयोगकर्ता खाते का इस्तेमाल करके, https://apigee.com/edge में साइन इन करें.
  2. बाएं नेविगेशन बार में, एडमिन > एसएसओ (SSO) चुनें.

Edge एसएसओ (SSO) ज़ोन एडमिन पेज दिखता है. यह आपके संगठन से बाहर का होता है.

जैसा कि इमेज में बताया गया है, Edge एसएसओ (SSO) ज़ोन एडमिन पेज से ये काम किए जा सकते हैं:

आइडेंटिटी ज़ोन जोड़ें

आइडेंटिटी ज़ोन जोड़ने के लिए:

  1. Edge एसएसओ (SSO) ज़ोन एडमिन पेज को ऐक्सेस करें.
  2. आइडेंटिटी ज़ोन सेक्शन में, + पर क्लिक करें.

  3. आइडेंटिटी ज़ोन का नाम और ब्यौरा डालें.
    Edge के सभी संगठनों के लिए, ज़ोन का नाम अलग होना चाहिए.

    ध्यान दें: Apigee के पास यह अधिकार है कि वह ज़ोन के ऐसे किसी भी नाम को हटा सकता है जिसे गलत माना जाता है.

  4. अगर ज़रूरी हो, तो सबडोमेन में जोड़ने के लिए स्ट्रिंग डालें.
    उदाहरण के लिए, अगर ज़ोन का नाम acme है, तो हो सकता है कि आप प्रोडक्शन ज़ोन, acme-prod और टेस्ट ज़ोन, acme-test तय करना चाहें.
    प्रोडक्शन ज़ोन बनाने के लिए, सबडोमेन सफ़िक्स के तौर पर prod डालें. इस मामले में, Edge यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने के लिए इस्तेमाल किया जाने वाला यूआरएल acme-prod.apigee.com होगा, जैसा कि आइडेंटिटी ज़ोन का इस्तेमाल करके अपने संगठन को ऐक्सेस करना में बताया गया है.

    ध्यान दें: जोड़े गए सबडोमेन सफ़िक्स, आपके सभी ज़ोन में अलग-अलग होने चाहिए.

  5. ठीक है पर क्लिक करें.

  6. SAML की पहचान देने वाली सेवा को कॉन्फ़िगर करें.

एसएएमएल आइडेंटिटी प्रोवाइडर को कॉन्फ़िगर करें

यह तरीका अपनाकर, एसएएमएल आइडेंटिटी प्रोवाइडर को कॉन्फ़िगर करें:

  1. एसएएमएल की सेटिंग कॉन्फ़िगर करें.
  2. नया सर्टिफ़िकेट अपलोड करें.
    अगर ज़रूरी हो, तो x509 सर्टिफ़िकेट को PEM फ़ॉर्मैट में बदलें.

एसएएमएल की सेटिंग कॉन्फ़िगर करें

एसएएमएल सेटिंग को कॉन्फ़िगर करने के लिए:

  1. Edge एसएसओ (SSO) ज़ोन एडमिन पेज को ऐक्सेस करें.
  2. आइडेंटिटी ज़ोन की उस पंक्ति पर क्लिक करें जिसके लिए आपको एसएएमएल आइडेंटिटी प्रोवाइडर को कॉन्फ़िगर करना है.
  3. SAML सेटिंग सेक्शन में, पर क्लिक करें.

  4. एसपी मेटाडेटा यूआरएल के पास, कॉपी करें पर क्लिक करें.

  5. सेवा देने वाली कंपनी (SP) की मेटाडेटा फ़ाइल में दी गई जानकारी का इस्तेमाल करके, एसएएमएल के आइडेंटिटी प्रोवाइडर को कॉन्फ़िगर करें.

    कुछ एसएएमएल आइडेंटिटी प्रोवाइडर के लिए, आपको सिर्फ़ मेटाडेटा के यूआरएल की जानकारी देने के लिए कहा जाएगा. दूसरों के लिए, आपको मेटाडेटा फ़ाइल से खास जानकारी निकालनी होगी और उसे एक फ़ॉर्म में डालना होगा.

    अगर ऐसा है, तो SP मेटाडेटा फ़ाइल को डाउनलोड करने और ज़रूरी जानकारी निकालने के लिए, यूआरएल को किसी ब्राउज़र में चिपकाएं. उदाहरण के लिए, इकाई आईडी या साइन-इन यूआरएल को एसपी मेटाडेटा फ़ाइल में दिए गए इन एलिमेंट में से निकाला जा सकता है:

    ध्यान दें: एसपी मेटाडेटा फ़ाइल में, साइन-इन यूआरएल को AssertionConsumerService (ACS) यूआरएल कहा जाता है.

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

    ध्यान दें: अगर एसएएमएल के आइडेंटिटी प्रोवाइडर के लिए ज़रूरी हो, तो ऑडियंस से जुड़ी पाबंदी को zoneID.apigee-saml-login पर सेट करें. इसे एसपी मेटाडेटा फ़ाइल (ऊपर दिखाया गया है) में entityID एलिमेंट की मदद से कॉपी किया जा सकता है.

  6. SAML के आइडेंटिटी प्रोवाइडर के लिए, एसएएमएल सेटिंग को कॉन्फ़िगर करें.

    एसएएमएल सेटिंग सेक्शन में, अपनी एसएएमएल आइडेंटिटी प्रोवाइडर की मेटाडेटा फ़ाइल से ली गई इन वैल्यू में बदलाव करें:

    एसएएमएल की सेटिंगब्यौरा
    साइन-इन करने के लिए यूआरएलवह यूआरएल जिस पर उपयोगकर्ताओं को एसएएमएल पोर्टल आइडेंटिटी प्रोवाइडर की साइट पर साइन इन करने के लिए रीडायरेक्ट किया गया है.
    उदाहरण के लिए: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    साइन-आउट करने के लिए यूआरएलवह यूआरएल जिस पर उपयोगकर्ताओं को एसएएमएल पोर्टल के आइडेंटिटी प्रोवाइडर से साइन आउट करने के लिए रीडायरेक्ट किया जाता है.
    ध्यान दें: अगर एसएएमएल के आइडेंटिटी प्रोवाइडर से साइन आउट करने का यूआरएल नहीं मिलता है, तो इस फ़ील्ड को खाली छोड़ दें. इस मामले में, यह साइन-इन यूआरएल के लिए इस्तेमाल की गई वैल्यू पर सेट होगा.
    आईडीपी (IdP) इकाई का आईडीएसएएमएल के आइडेंटिटी प्रोवाइडर के लिए यूनीक यूआरएल.
    उदाहरण के लिए: http://www.okta.com/exkhgdyponHIp97po0h7

    ध्यान दें: एसएएमएल के आइडेंटिटी प्रोवाइडर के आधार पर, इस फ़ील्ड को अलग-अलग नाम दिया जा सकता है, जैसे कि Entity ID, SP Entity ID, Audience URI वगैरह.

    ध्यान दें: Apigee एसएसओ (SSO) में ये दो सुविधाएं काम नहीं करती हैं:

    • आईडीपी मेटाडेटा के यूआरएल का इस्तेमाल करके और समय-समय पर मेटाडेटा डाउनलोड करके, अपने-आप आईडीपी सर्टिफ़िकेट को रीफ़्रेश किया जाता है. ऐसा, Apigee एसएसओ (SSO) सेवा देने वाली कंपनी की तरफ़ से बदलावों को अपडेट करने के लिए किया जाता है.
    • पूरी आईडीपी मेटाडेटा एक्सएमएल फ़ाइल अपलोड करना या ऑटोमैटिक आईडीपी कॉन्फ़िगरेशन के लिए, आईडीपी मेटाडेटा का यूआरएल इस्तेमाल करना.

  7. सेव करें पर क्लिक करें.

इसके बाद, अगले सेक्शन में बताए गए तरीके से PEM या PKCSS फ़ॉर्मैट में सर्टिफ़िकेट अपलोड करें.

एक नया प्रमाणपत्र अपलोड करें

नया प्रमाणपत्र अपलोड करने के लिए:

  1. अपने एसएएमएल के आइडेंटिटी प्रोवाइडर से हस्ताक्षर की पुष्टि करने के लिए, सर्टिफ़िकेट डाउनलोड करें.

    ध्यान दें: सर्टिफ़िकेट, PEM या PKCSS फ़ॉर्मैट में होना चाहिए. अगर ज़रूरी हो, तो x509 सर्टिफ़िकेट को PEM फ़ॉर्मैट में बदलें.

  2. Edge एसएसओ (SSO) ज़ोन एडमिन पेज को ऐक्सेस करें.

  3. उस आइडेंटिटी ज़ोन की लाइन पर क्लिक करें जिसके लिए आपको नया सर्टिफ़िकेट अपलोड करना है.

  4. सर्टिफ़िकेट सेक्शन में, पर क्लिक करें.

  5. ब्राउज़ करें पर क्लिक करें और अपनी लोकल डायरेक्ट्री में सर्टिफ़िकेट पर जाएं.

  6. नए प्रमाणपत्र को अपलोड करने के लिए खोलें पर क्लिक करें.
    सर्टिफ़िकेट की जानकारी वाले फ़ील्ड, चुने गए सर्टिफ़िकेट को दिखाने के लिए अपडेट किए जाते हैं.

  7. पुष्टि करें कि यह सर्टिफ़िकेट मान्य है और इसकी समयसीमा खत्म नहीं हुई है.

  8. सेव करें पर क्लिक करें.

किसी x509 सर्टिफ़िकेट को PEM फ़ॉर्मैट में बदलें

अगर आप x509 सर्टिफ़िकेट डाउनलोड करते हैं, तो आपको इसे PEM फ़ॉर्मैट में बदलना होगा.

किसी x509 सर्टिफ़िकेट को PEM फ़ॉर्मैट में बदलने के लिए:

  1. एसएएमएल के आइडेंटिटी प्रोवाइडर की मेटाडेटा फ़ाइल से ds:X509Certificate element का कॉन्टेंट कॉपी करें और उसे अपने पसंदीदा टेक्स्ट एडिटर में चिपकाएं.
  2. फ़ाइल में सबसे ऊपर यह लाइन जोड़ें:
    -----BEGIN CERTIFICATE-----
  3. फ़ाइल के नीचे नीचे दी गई लाइन जोड़ें:
    -----END CERTIFICATE-----
  4. .pem एक्सटेंशन का इस्तेमाल करके फ़ाइल सेव करें.

PEM फ़ाइल के कॉन्टेंट का उदाहरण नीचे दिया गया है:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Edge संगठन को आइडेंटिटी ज़ोन से कनेक्ट करें

Edge संगठन को आइडेंटिटी ज़ोन से कनेक्ट करने के लिए:

  1. Edge एसएसओ (SSO) ज़ोन एडमिन पेज को ऐक्सेस करें.
  2. संगठन की मैपिंग सेक्शन में, पहचान क्षेत्र के ड्रॉप-डाउन मेन्यू में जाकर, पहचान की सुविधा वाला कोई ज़ोन चुनें. ऐसा उस संगठन से जुड़ा है जिसे आपको किसी ज़ोन को असाइन करना है.
    संगठन के लिए बुनियादी पुष्टि करने की सुविधा चालू करने के लिए, कोई नहीं (Apigee डिफ़ॉल्ट) चुनें.
  3. बदलाव की पुष्टि करने के लिए, पुष्टि करें पर क्लिक करें.

आइडेंटिटी ज़ोन का इस्तेमाल करके, अपने संगठन को ऐक्सेस करें

Edge यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने के लिए इस्तेमाल किया जाने वाला यूआरएल, आपके आइडेंटिटी ज़ोन के नाम से तय होता है:

https://zonename.apigee.com

इसी तरह, क्लासिक Edge यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने के लिए इस्तेमाल किया जाने वाला यूआरएल इस तरह का होता है:

https://zonename.enterprise.apigee.com

उदाहरण के लिए, Acme Inc., एसएएमएल का इस्तेमाल करना चाहती है और "acme" को अपने ज़ोन के नाम के तौर पर चुनता है. Acme Inc. के ग्राहक EDGE यूज़र इंटरफ़ेस (यूआई) को इस यूआरएल से ऐक्सेस करते हैं:

https://acme.apigee.com

यह ज़ोन, एसएएमएल के साथ काम करने वाले Edge संगठनों की पहचान करता है. उदाहरण के लिए, Acme Inc. में तीन संगठन हैं: OrgA, OrgB, और OrgC. Acme, सभी संगठनों को एसएएमएल ज़ोन में या सिर्फ़ सबसेट में जोड़ने का फ़ैसला ले सकती है. बाकी संगठन, बेसिक Auth क्रेडेंशियल से जनरेट किए गए बेसिक Auth या OAuth2 टोकन का इस्तेमाल जारी रखते हैं.

एक से ज़्यादा आइडेंटिटी ज़ोन बनाए जा सकते हैं. इसके बाद, सभी ज़ोन को, एक ही आइडेंटिटी प्रोवाइडर का इस्तेमाल करने के लिए कॉन्फ़िगर किया जा सकता है.

उदाहरण के लिए, हो सकता है कि Acme एक प्रोडक्शन ज़ोन, "acme-prod", जिसमें OrgAProd और OrgBProd शामिल हैं और एक टेस्ट ज़ोन "acme-test" तय करना चाहें जिसमें OrgATest, OrgBTest, OrgADev और OrgBDev शामिल हैं.

इसके बाद, अलग-अलग ज़ोन को ऐक्सेस करने के लिए, इन यूआरएल का इस्तेमाल करें:

https://acme-prod.apigee.com
https://acme-test.apigee.com

एसएएमएल की पुष्टि करने वाले तरीके के साथ Edge उपयोगकर्ताओं को रजिस्टर करें

किसी संगठन के लिए एसएएमएल की सुविधा चालू करने के बाद, आपको उन एसएएमएल उपयोगकर्ताओं को भी रजिस्टर करना होगा जो आपके संगठन के साथ पहले से रजिस्टर नहीं हैं. ज़्यादा जानकारी के लिए, संगठन के उपयोगकर्ताओं को मैनेज करना लेख पढ़ें.

OAuth2 ऐक्सेस टोकन पास करने के लिए, स्क्रिप्ट अपडेट करें

एसएएमएल चालू करने के बाद, Edge API के लिए बेसिक पुष्टि की सुविधा बंद हो जाती है. ऐसी सभी स्क्रिप्ट (Maven स्क्रिप्ट, शेल स्क्रिप्ट, apigeetool वगैरह) अब काम नहीं करेंगी जो Edge एपीआई कॉल पर निर्भर करती हैं. आपको ऐसे एपीआई कॉल और स्क्रिप्ट अपडेट करने होंगे जो बेयरर हेडर में, OAuth2 ऐक्सेस टोकन पास करने के लिए बेसिक पुष्टि का इस्तेमाल करते हैं. Edge API के साथ एसएएमएल का इस्तेमाल करना देखें.

आइडेंटिटी ज़ोन मिटाना

आइडेंटिटी ज़ोन मिटाने के लिए:

  1. Edge एसएसओ (SSO) ज़ोन एडमिन पेज को ऐक्सेस करें.
  2. ऐक्शन मेन्यू दिखाने के लिए, कर्सर को उस आइडेंटिटी ज़ोन से जुड़ी लाइन पर रखें जिसे आपको मिटाना है.
  3. पर क्लिक करें.
  4. मिटाने की कार्रवाई की पुष्टि करने के लिए, मिटाएं पर क्लिक करें.

Edge एसएसओ (SSO) ज़ोन एडमिन पेज से साइन आउट करें

आप अपने संगठन से बाहर Edge के आइडेंटिटी ज़ोन को मैनेज करते हैं, इसलिए आपको Apigee Edge की अन्य सुविधाओं को ऐक्सेस करने के लिए, Edge एसएसओ (SSO) ज़ोन एडमिन पेज से साइन आउट करना होगा. इसके बाद, अपने संगठन में साइन इन करना होगा.