Aktifkan SAML (Beta)

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X. info

Bagian ini menjelaskan cara mengaktifkan SAML untuk Apigee Edge, sehingga autentikasi bagi anggota organisasi Anda dapat didelegasikan ke layanan identitas Anda sendiri. Untuk mengetahui ringkasan pengelolaan zona identitas dan SAML di Edge, lihat ringkasan SAML.

Video: Tonton video singkat untuk mempelajari cara mengakses Apigee Edge API sebelum dan sesudah mengaktifkan single sign-on (SSO) menggunakan SAML.

Tentang peran zoneadmin

Anda harus menjadi zoneadmin untuk mengelola zona identitas di Edge. Peran zoneadmin menyediakan prosedur CRUD lengkap hanya untuk mengelola zona identitas.

Agar peran zoneadmin ditetapkan ke akun Apigee Edge Anda, hubungi Dukungan Apigee Edge.

Sebelum memulai

Sebelum memulai, dapatkan informasi berikut dari penyedia identitas SAML pihak ketiga:

  • Sertifikat untuk verifikasi tanda tangan (format PEM atau PKCSS). Jika perlu, konversikan sertifikat x509 ke format PEM

  • Informasi konfigurasi (ditentukan dalam tabel berikut)

    Konfigurasi Deskripsi
    URL login URL tempat pengguna dialihkan untuk login ke penyedia identitas SAML.
    URL Keluar URL yang menjadi tujuan pengalihan pengguna untuk logout dari penyedia identitas SAML.
    ID entitas IDP URL unik untuk penyedia identitas ini. Contoh: https://idp.example.com/saml

Selain itu, konfigurasi penyedia identitas SAML pihak ketiga dengan setelan berikut:

  • Pastikan atribut NameID dipetakan ke alamat email pengguna. Alamat email pengguna berfungsi sebagai ID unik akun developer Edge. Berikut ini contoh penggunaan Okta, dengan kolom Name ID format yang menentukan atribut NameID.

  • (Opsional) Setel durasi sesi yang diautentikasi ke 15 hari untuk mencocokkan durasi sesi yang diautentikasi UI Edge.

Jelajahi halaman Administrasi Zona SSO Edge

Kelola zona identitas untuk Edge menggunakan halaman Administrasi Zona SSO Edge. Halaman Administrasi Zona SSO Edge ada di luar organisasi Anda yang memungkinkan Anda menetapkan beberapa organisasi ke zona identitas yang sama.

Untuk mengakses halaman Administrasi Zona SSO Edge:

  1. Login ke https://apigee.com/edge menggunakan akun pengguna Apigee Edge dengan hak istimewa zoneadmin.
  2. Pilih Admin > SSO pada menu navigasi sebelah kiri.

Halaman Administrasi Zona SSO Edge akan ditampilkan (di luar organisasi Anda).

Seperti yang disorot dalam gambar, halaman Administrasi Zona SSO Edge memungkinkan Anda untuk:

Menambahkan zona identitas

Untuk menambahkan zona identitas:

  1. Akses halaman Administrasi Zona SSO Edge.
  2. Di bagian Zona identitas, klik +.

  3. Masukkan nama dan deskripsi untuk zona identitas.
    Nama zona harus unik di semua organisasi Edge.

    Catatan: Apigee berhak menghapus nama zona apa pun yang dianggap tidak dapat dibenarkan.

  4. Masukkan string yang akan ditambahkan ke subdomain, jika diperlukan.
    Misalnya, jika acme adalah nama zona, Anda mungkin ingin menentukan zona produksi, acme-prod, dan zona pengujian, acme-test.
    Untuk membuat zona produksi, masukkan prod sebagai akhiran subdomain. Dalam hal ini, URL yang digunakan untuk mengakses UI Edge adalah: acme-prod.apigee.com, seperti yang dijelaskan dalam Mengakses organisasi Anda menggunakan zona identitas.

    Catatan: Akhiran subdomain yang ditambahkan harus unik di semua zona Anda.

  5. Klik OK.

  6. Konfigurasikan penyedia identitas SAML.

Mengonfigurasi penyedia identitas SAML

Konfigurasikan penyedia identitas SAML dengan melakukan langkah-langkah berikut:

  1. Konfigurasi setelan SAML.
  2. Upload sertifikat baru.
    Jika perlu, konversikan sertifikat x509 ke format PEM.

Mengonfigurasi setelan SAML

Untuk mengonfigurasi setelan SAML:

  1. Akses halaman Administrasi Zona SSO Edge.
  2. Klik baris zona identitas yang penyedia identitas SAML-nya ingin Anda konfigurasi.
  3. Pada bagian SAML Settings, klik .

  4. Klik Copy di samping SP metadata URL.

  5. Konfigurasikan penyedia identitas SAML Anda menggunakan informasi dalam file metadata penyedia layanan (SP).

    Untuk beberapa penyedia identitas SAML, Anda hanya akan diminta untuk memasukkan URL metadata. Untuk opsi lainnya, Anda perlu mengekstrak informasi tertentu dari file metadata dan memasukkannya ke dalam formulir.

    Untuk yang kedua, tempel URL tersebut ke browser untuk mendownload file metadata SP dan mengekstrak informasi yang diperlukan. Misalnya, ID entitas atau URL login dapat diekstrak dari elemen berikut dalam file metadata SP:

    Catatan: Di file metadata SP, URL login disebut sebagai URL AssertionConsumerService (ACS).

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

    Catatan: Jika diwajibkan oleh penyedia identitas SAML Anda, tetapkan pembatasan audiens ke zoneID.apigee-SAML-login, yang dapat Anda salin dari elemen entityID di file metadata SP (ditampilkan di atas).

  6. Konfigurasikan setelan SAML untuk Penyedia identitas SAML.

    Di bagian SAML Settings, edit nilai berikut yang diperoleh dari file metadata penyedia identitas SAML Anda:

    Setelan SAMLDeskripsi
    URL loginURL tempat pengguna dialihkan untuk login ke penyedia identitas portal SAML.
    Misalnya: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL KeluarURL yang menjadi tujuan pengguna dialihkan untuk logout dari penyedia identitas portal SAML.
    Catatan: Jika penyedia identitas SAML Anda tidak menyediakan URL logout, kosongkan kolom ini. Dalam kasus ini, kunci akan disetel ke nilai yang sama dengan yang digunakan untuk URL login.
    ID entitas IDPURL unik untuk penyedia identitas SAML.
    Misalnya: http://www.okta.com/exkhgdyponHIp97po0h7

    Catatan: Bergantung pada penyedia identitas SAML, kolom ini mungkin diberi nama yang berbeda, seperti Entity ID, SP Entity ID, Audience URI, dan seterusnya.

    Catatan: SSO Apigee tidak mendukung 2 fitur berikut:

    • Pembaruan sertifikat IDP otomatis dengan menggunakan URL metadata IDP dan mendownload metadata secara berkala untuk memperbarui perubahan di sisi Penyedia Layanan SSO Apigee.
    • Mengupload seluruh file XML Metadata IDP atau menggunakan URL Metadata IDP untuk konfigurasi IDP otomatis.

  7. Klik Simpan.

Selanjutnya, upload sertifikat dalam format PEM atau PKCSS, seperti yang dijelaskan di bagian berikutnya.

Upload sertifikat baru

Untuk mengupload sertifikat baru:

  1. Download sertifikat untuk verifikasi tanda tangan dari penyedia identitas SAML Anda.

    Catatan: Sertifikat harus dalam format PEM atau PKCSS. Jika perlu, konversikan sertifikat x509 ke format PEM.

  2. Akses halaman Administrasi Zona SSO Edge.

  3. Klik baris zona identitas tempat Anda ingin mengupload sertifikat baru.

  4. Di bagian Certificate, klik .

  5. Klik Browse, lalu buka sertifikat di direktori lokal Anda.

  6. Klik Buka untuk mengupload sertifikat baru.
    Kolom Informasi sertifikat diperbarui untuk mencerminkan sertifikat yang dipilih.

  7. Verifikasikan bahwa sertifikat valid dan belum habis masa berlakunya.

  8. Klik Simpan.

Mengonversi sertifikat x509 ke format PEM

Jika mendownload sertifikat x509, Anda harus mengonversinya ke format PEM.

Untuk mengonversi sertifikat x509 ke format PEM:

  1. Salin konten ds:X509Certificate element dari file metadata penyedia identitas SAML dan tempelkan ke editor teks favorit Anda.
  2. Tambahkan baris berikut di bagian atas file:
    -----BEGIN CERTIFICATE-----
  3. Tambahkan baris berikut di bagian bawah file:
    -----END CERTIFICATE-----
  4. Simpan file menggunakan ekstensi .pem.

Berikut adalah contoh konten file PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Menghubungkan organisasi Edge ke zona identitas

Untuk menghubungkan organisasi Edge ke zona identitas:

  1. Akses halaman Administrasi Zona SSO Edge.
  2. Di bagian Pemetaan organisasi, pilih zona identitas di menu drop-down Zona identitas yang terkait dengan organisasi yang ingin Anda tetapkan ke zona tersebut.
    Pilih None (Apigee default) untuk mengaktifkan autentikasi dasar untuk organisasi.
  3. Klik Konfirmasi untuk mengonfirmasi perubahan.

Akses organisasi Anda menggunakan zona identitas

URL yang Anda gunakan untuk mengakses UI Edge ditentukan oleh nama zona identitas Anda:

https://zonename.apigee.com

Demikian pula, URL yang Anda gunakan untuk mengakses UI Edge Klasik adalah sebagai berikut:

https://zonename.enterprise.apigee.com

Misalnya, Acme Inc. ingin menggunakan SAML dan memilih "acme" sebagai nama zonanya. Pelanggan Acme Inc. kemudian mengakses UI Edge dengan URL berikut:

https://acme.apigee.com

Zona mengidentifikasi organisasi Edge yang mendukung SAML. Misalnya, Acme Inc. memiliki tiga organisasi: OrgA, OrgB, dan OrgC. Acme dapat memutuskan untuk menambahkan semua organisasi ke zona SAML, atau hanya sebagian. Organisasi yang tersisa akan terus menggunakan Basic Auth atau token OAuth2 yang dihasilkan dari kredensial Basic Auth.

Anda dapat menentukan beberapa zona identitas. Semua zona kemudian dapat dikonfigurasi untuk menggunakan penyedia identitas yang sama.

Misalnya, Acme mungkin ingin menentukan zona produksi, "acme-prod", yang berisi OrgAProd dan OrgBProd, serta zona pengujian, "acme-test", yang berisi OrgATest, OrgBTest, OrgADev, dan OrgBDev.

Anda kemudian menggunakan URL berikut untuk mengakses zona yang berbeda:

https://acme-prod.apigee.com
https://acme-test.apigee.com

Mendaftarkan pengguna Edge dengan autentikasi SAML

Setelah mengaktifkan SAML untuk organisasi, Anda harus mendaftarkan pengguna SAML yang belum terdaftar di organisasi Anda. Untuk informasi selengkapnya, lihat Mengelola pengguna organisasi.

Perbarui skrip untuk meneruskan token akses OAuth2

Setelah Anda mengaktifkan SAML, Basic Auth dinonaktifkan untuk Edge API. Semua skrip (skrip Maven, skrip shell, apigeetool, dan sebagainya) yang mengandalkan panggilan Edge API yang mendukung Basic Auth tidak akan berfungsi lagi. Anda harus memperbarui panggilan API dan skrip yang menggunakan Basic Auth untuk meneruskan token akses OAuth2 di header Pemilik. Lihat Menggunakan SAML dengan Edge API.

Menghapus zona identitas

Untuk menghapus zona identitas:

  1. Akses halaman Administrasi Zona SSO Edge.
  2. Posisikan kursor di atas baris yang terkait dengan zona identitas yang ingin Anda hapus untuk menampilkan menu tindakan.
  3. Klik .
  4. Klik Hapus untuk mengonfirmasi operasi penghapusan.

Logout dari halaman Administrasi Zona SSO Edge

Karena Anda mengelola zona identitas Edge di luar organisasi, Anda harus logout dari halaman Administrasi Zona SSO Edge lalu login ke organisasi Anda agar dapat mengakses fitur Apigee Edge lainnya.