Aktifkan SAML (Beta)

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X.
info

Bagian ini menjelaskan cara mengaktifkan SAML untuk Apigee Edge sehingga autentikasi untuk anggota organisasi dapat didelegasikan ke layanan identitas Anda sendiri. Untuk ringkasan pengelolaan SAML dan zona identitas di Edge, lihat Ringkasan SAML.

Video: Tonton video singkat untuk mempelajari cara mengakses Apigee Edge API sebelum dan sesudah mengaktifkan Single Sign-On (SSO) menggunakan SAML.

Tentang peran admin zona

Anda harus menjadi zoneadmin untuk mengelola zona identitas di Edge. Peran zoneadmin memberikan prosedur CRUD lengkap untuk mengelola zona identitas saja.

Agar peran zonaadmin ditetapkan ke akun Apigee Edge Anda, hubungi Dukungan Apigee Edge.

Sebelum memulai

Sebelum memulai, dapatkan informasi berikut dari penyedia identitas SAML pihak ketiga Anda:

  • Sertifikat untuk verifikasi tanda tangan (format PEM atau PKCSS). Jika perlu, konversikan sertifikat x509 ke format PEM
  • Informasi konfigurasi (ditentukan dalam tabel berikut)

    Konfigurasi Deskripsi
    URL login URL tempat pengguna dialihkan untuk login ke penyedia identitas SAML.
    URL Keluar URL tempat pengguna dialihkan untuk logout dari penyedia identitas SAML.
    ID entitas IDP URL unik untuk penyedia identitas ini. Contoh: https://idp.example.com/saml

Selain itu, konfigurasi penyedia identitas SAML pihak ketiga Anda dengan setelan berikut:

  • Pastikan atribut NameID dipetakan ke alamat email pengguna. Alamat email pengguna berfungsi sebagai ID unik akun developer Edge. Berikut ini contoh penggunaan Okta, dengan kolom Format ID nama menentukan atribut NameID.

  • (Opsional) Tetapkan durasi sesi yang diautentikasi ke 15 hari agar cocok dengan durasi sesi yang diautentikasi UI Edge.

Jelajahi halaman Administrasi Zona SSO Edge

Kelola zona identitas untuk Edge menggunakan halaman Administrasi Zona SSO Edge. Halaman Administrasi Zona SSO Edge ada di luar organisasi Anda yang memungkinkan Anda menetapkan beberapa organisasi ke zona identitas yang sama.

Untuk mengakses halaman Administrasi Zona SSO Edge:

  1. Login ke https://apigee.com/edge menggunakan akun pengguna Apigee Edge dengan hak istimewa admin zone.
  2. Pilih Admin > SSO di menu navigasi sebelah kiri.

Halaman Administrasi Zona SSO Edge akan ditampilkan (di luar organisasi Anda).

Seperti yang disorot pada gambar, halaman Administrasi Zona SSO Edge memungkinkan Anda:

Menambahkan zona identitas

Untuk menambahkan zona identitas:

  1. Akses halaman Edge SSO Zone Administration.
  2. Di bagian Zona identitas, klik +.
  3. Masukkan nama dan deskripsi untuk zona identitas.
    Nama zona harus unik di semua organisasi Edge.

    Catatan: Apigee berhak menghapus nama zona apa pun yang dianggap tidak dapat dibenarkan.

  4. Masukkan string untuk ditambahkan ke subdomain, jika diperlukan.
    Misalnya, jika acme adalah nama zona, Anda dapat menentukan zona produksi, acme-prod, dan zona pengujian, acme-test.
    Untuk membuat zona produksi, masukkan prod sebagai akhiran subdomain. Dalam hal ini, URL yang digunakan untuk mengakses UI Edge adalah: acme-prod.apigee.com, seperti yang dijelaskan dalam Mengakses organisasi menggunakan zona identitas.

    Catatan: Akhiran subdomain yang ditambahkan harus unik di semua zona Anda.

  5. Klik OK.

  6. Konfigurasi penyedia identitas SAML.

Mengonfigurasi penyedia identitas SAML

Konfigurasikan penyedia identitas SAML dengan melakukan langkah-langkah berikut:

  1. Konfigurasi setelan SAML.
  2. Upload sertifikat baru.
    Jika perlu, konversikan sertifikat x509 ke format PEM.

Mengonfigurasi setelan SAML

Untuk mengonfigurasi setelan SAML:

  1. Akses halaman Edge SSO Zone Administration.
  2. Klik baris zona identitas yang penyedia identitas SAML-nya ingin Anda konfigurasi.
  3. Di bagian SAML Settings, klik .
  4. Klik Copy di sebelah URL metadata SP.

  5. Konfigurasikan penyedia identitas SAML Anda menggunakan informasi dalam file metadata penyedia layanan (SP).

    Untuk beberapa penyedia identitas SAML, Anda hanya akan diminta untuk memasukkan URL metadata. Untuk yang lainnya, Anda harus mengekstrak informasi spesifik dari file metadata dan memasukkannya ke dalam formulir.

    Untuk yang terakhir, tempel URL ke browser untuk mendownload file metadata SP dan mengekstrak informasi yang diperlukan. Misalnya, ID entitas atau URL login dapat diekstrak dari elemen berikut di file metadata SP:

    Catatan: Di file metadata SP, URL login disebut sebagai URL AssertionConsumerService (ACS).

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

    Catatan: Jika diwajibkan oleh penyedia identitas SAML Anda, tetapkan batasan audiens ke zoneID.apigee-TBD-login, yang dapat Anda salin dari elemen entityID di file metadata SP (ditampilkan di atas).

  6. Konfigurasikan setelan SAML untuk Penyedia identitas SAML.

    Di bagian Setelan SAML, edit nilai berikut yang diperoleh dari file metadata penyedia identitas SAML Anda:

    Setelan SAMLDeskripsi
    URL loginURL tempat pengguna dialihkan untuk login ke penyedia identitas portal SAML.
    Misalnya: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL KeluarURL tempat pengguna dialihkan untuk logout dari penyedia identitas portal SAML.
    Catatan: Jika penyedia identitas SAML Anda tidak menyediakan URL logout, kosongkan kolom ini. Dalam hal ini, kunci akan ditetapkan ke nilai yang sama dengan yang digunakan untuk URL login.
    ID entitas IDPURL unik untuk penyedia identitas SAML.
    Misalnya: http://www.okta.com/exkhgdyponHIp97po0h7

    Catatan: Bergantung pada penyedia identitas SAML, nama kolom ini mungkin berbeda, seperti Entity ID, SP Entity ID, Audience URI, dan sebagainya.

    Catatan: SSO Apigee tidak mendukung 2 fitur berikut:

    • Pembaruan sertifikat IDP otomatis menggunakan URL metadata IDP dan mendownload metadata secara berkala untuk memperbarui perubahan di sisi Penyedia Layanan SSO Apigee.
    • Mengupload seluruh file XML Metadata IDP atau menggunakan URL Metadata IDP untuk konfigurasi IDP otomatis.

  7. Klik Simpan.

Selanjutnya, upload sertifikat dalam format PEM atau PKCSS, seperti yang dijelaskan di bagian berikutnya.

Upload sertifikat baru

Untuk mengupload sertifikat baru:

  1. Download sertifikat untuk verifikasi tanda tangan dari penyedia identitas SAML Anda.

    Catatan: Sertifikat harus dalam format PEM atau PKCSS. Jika perlu, konversikan sertifikat x509 ke format PEM.

  2. Akses halaman Edge SSO Zone Administration.

  3. Klik baris zona identitas tempat Anda ingin mengupload sertifikat baru.

  4. Di bagian Certificate, klik .

  5. Klik Browse, lalu buka sertifikat di direktori lokal Anda.

  6. Klik Buka untuk mengupload sertifikat baru.
    Kolom informasi Sertifikat diperbarui untuk mencerminkan sertifikat yang dipilih.

  7. Verifikasi bahwa sertifikat valid dan belum habis masa berlakunya.

  8. Klik Simpan.

Konversi sertifikat x509 ke format PEM

Jika mendownload sertifikat x509, Anda harus mengonversinya ke format PEM.

Untuk mengonversi sertifikat x509 ke format PEM:

  1. Salin konten ds:X509Certificate element dari file metadata penyedia identitas SAML dan tempelkan ke editor teks favorit Anda.
  2. Tambahkan baris berikut di bagian atas file:
    -----BEGIN CERTIFICATE-----
  3. Tambahkan baris berikut di bagian bawah file:
    -----END CERTIFICATE-----
  4. Simpan file menggunakan ekstensi .pem.

Berikut contoh konten file PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Menghubungkan organisasi Edge ke zona identitas

Untuk menghubungkan organisasi Edge ke zona identitas:

  1. Akses halaman Edge SSO Zone Administration.
  2. Di bagian Pemetaan organisasi, pilih zona identitas di menu drop-down Zona identitas yang terkait dengan organisasi yang ingin Anda tetapkan ke zona.
    Pilih None (Apigee default) untuk mengaktifkan autentikasi dasar untuk organisasi.
  3. Klik Konfirmasi untuk mengonfirmasi perubahan.

Akses organisasi Anda menggunakan zona identitas

URL yang Anda gunakan untuk mengakses UI Edge ditentukan oleh nama zona identitas Anda:

https://zonename.apigee.com

Demikian pula, URL yang Anda gunakan untuk mengakses UI Edge Klasik adalah sebagai berikut:

https://zonename.enterprise.apigee.com

Misalnya, Acme Inc. ingin menggunakan SAML dan memilih "acme" sebagai nama zonanya. Pelanggan Acme Inc. kemudian mengakses UI Edge dengan URL berikut:

https://acme.apigee.com

Zona ini mengidentifikasi organisasi Edge yang mendukung SAML. Misalnya, Acme Inc. memiliki tiga organisasi: OrgA, OrgB, dan OrgC. Acme dapat memutuskan untuk menambahkan semua organisasi ke zona SAML, atau hanya sebagian. Organisasi yang tersisa tetap menggunakan token Basic Auth atau OAuth2 yang dihasilkan dari kredensial Basic Auth.

Anda dapat menentukan beberapa zona identitas. Kemudian, semua zona dapat dikonfigurasi untuk menggunakan penyedia identitas yang sama.

Misalnya, Acme mungkin ingin menentukan zona produksi, "acme-prod", yang berisi OrgAProd dan OrgBProd, serta zona pengujian, "acme-test", yang berisi OrgATest, OrgBTest, OrgADev, dan OrgBDev.

Anda kemudian menggunakan URL berikut untuk mengakses zona yang berbeda:

https://acme-prod.apigee.com
https://acme-test.apigee.com

Mendaftarkan pengguna Edge dengan autentikasi SAML

Setelah mengaktifkan SAML untuk organisasi, Anda harus mendaftarkan pengguna SAML yang belum terdaftar di organisasi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengelola pengguna organisasi.

Memperbarui skrip untuk meneruskan token akses OAuth2

Setelah Anda mengaktifkan SAML, Basic Auth akan dinonaktifkan untuk Edge API. Semua skrip (skrip Maven, skrip shell, apigeetool, dan sebagainya) yang mengandalkan panggilan Edge API yang mendukung Basic Auth tidak akan berfungsi lagi. Anda harus memperbarui panggilan API dan skrip yang menggunakan Basic Auth untuk meneruskan token akses OAuth2 di header Bearer. Lihat Menggunakan SAML dengan Edge API.

Menghapus zona identitas

Untuk menghapus zona identitas:

  1. Akses halaman Edge SSO Zone Administration.
  2. Arahkan kursor ke baris yang terkait dengan zona identitas yang ingin Anda hapus untuk menampilkan menu tindakan.
  3. Klik .
  4. Klik Delete untuk mengonfirmasi operasi penghapusan.

Logout dari halaman Administrasi Zona SSO Edge

Karena mengelola zona identitas Edge di luar organisasi, Anda harus logout dari halaman Administrasi Zona SSO Edge, lalu login ke organisasi Anda agar dapat mengakses fitur Apigee Edge lainnya.