Attiva SAML (beta)

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X. informazioni

Questa sezione descrive come abilitare SAML per Apigee Edge in modo che l'autenticazione per i membri della tua organizzazione possa essere delegata al tuo servizio di identità. Per una panoramica della gestione di SAML e delle zone di identità in Edge, vedi Panoramica di SAML.

Video: guarda un breve video per scoprire come accedere alle API Apigee Edge prima e dopo aver abilitato il Single Sign-On (SSO) tramite SAML.

Informazioni sul ruolo zoneadmin

Devi essere un zoneadmin per gestire le zone di identità in Edge. Il ruolo zoneadmin fornisce procedure CRUD complete solo per la gestione delle zone di identità.

Per ricevere l'assegnazione del ruolo zoneadmin al tuo account Apigee Edge, contatta l'assistenza Apigee Edge.

Prima di iniziare

Prima di iniziare, richiedi le seguenti informazioni al tuo provider di identità SAML di terze parti:

  • Certificato per la verifica della firma (formato PEM o PKCSS). Se necessario, converti un certificato x509 in formato PEM.

  • Informazioni di configurazione (definite nella tabella seguente)

    Configurazione Descrizione
    URL di accesso URL a cui gli utenti vengono reindirizzati per accedere al provider di identità SAML.
    URL di uscita URL a cui gli utenti vengono reindirizzati all'uscita dal provider di identità SAML.
    ID entità IdP URL univoco per questo provider di identità. Ad esempio: https://idp.example.com/saml

Inoltre, configura il tuo provider di identità SAML di terze parti con le seguenti impostazioni:

  • Assicurati che l'attributo NameID sia mappato all'indirizzo email dell'utente. L'indirizzo email dell'utente funge da identificatore univoco dell'account sviluppatore Edge. Di seguito è riportato un esempio in cui viene utilizzato Okta, in cui il campo Formato ID nome definisce l'attributo NameID.

  • (Facoltativo) Imposta la durata della sessione autenticata su 15 giorni, in modo che corrisponda a quella della sessione autenticata della UI Edge.

Esplora la pagina Amministrazione zona SSO perimetrale

Gestisci le zone di identità per Edge utilizzando la pagina Amministrazione zona SSO Edge. La pagina Amministrazione zona SSO perimetrale è disponibile all'esterno della tua organizzazione e consente di assegnare più organizzazioni alla stessa zona di identità.

Per accedere alla pagina Amministrazione zona SSO Edge:

  1. Accedi ad https://apigee.com/edge utilizzando un account utente Apigee Edge con privilegi zoneadmin.
  2. Seleziona Amministratore > SSO nella barra di navigazione a sinistra.

Viene visualizzata la pagina Amministrazione zona SSO Edge (all'esterno dell'organizzazione).

Come evidenziato nella figura, la pagina Amministrazione zona SSO Edge consente di:

Aggiungi una zona di identità

Per aggiungere una zona di identità:

  1. Accedi alla pagina di amministrazione delle zone SSO Edge.
  2. Nella sezione Zone identità, fai clic su +.

  3. Inserisci un nome e una descrizione per la zona di identità.
    Il nome della zona deve essere univoco in tutte le organizzazioni Edge.

    Nota: Apigee si riserva il diritto di rimuovere qualsiasi nome di zona ritenuto ingiustificabile.

  4. Inserisci una stringa da aggiungere al sottodominio, se necessario.
    Ad esempio, se acme è il nome della zona, puoi definire una zona di produzione, acme-prod, e una zona di test, acme-test.
    Per creare la zona di produzione, inserisci prod come suffisso del sottodominio. In questo caso, l'URL utilizzato per accedere all'interfaccia utente Edge sarebbe: acme-prod.apigee.com, come descritto in Accedere all'organizzazione utilizzando la zona di identità.

    Nota: il suffisso del sottodominio aggiunto deve essere univoco in tutte le zone.

  5. Fai clic su OK.

  6. Configura il provider di identità SAML.

Configura il provider di identità SAML

Per configurare il provider di identità SAML:

  1. Configura le impostazioni SAML.
  2. Carica un nuovo certificato.
    Se necessario, converti un certificato x509 in formato PEM.

Configura le impostazioni SAML

Per configurare le impostazioni SAML:

  1. Accedi alla pagina di amministrazione delle zone SSO Edge.
  2. Fai clic sulla riga della zona di identità per la quale vuoi configurare il provider di identità SAML.
  3. Nella sezione SAML Settings (Impostazioni SAML), fai clic su .

  4. Fai clic su Copia accanto a URL metadati SP.

  5. Configura il tuo provider di identità SAML utilizzando le informazioni contenute nel file di metadati del fornitore di servizi (SP).

    Per alcuni provider di identità SAML, ti verrà richiesto solo l'URL dei metadati. Per altri casi, dovrai estrarre informazioni specifiche dal file di metadati e inserirle in un modulo.

    In quest'ultimo caso, incolla l'URL in un browser per scaricare il file di metadati SP ed estrarre le informazioni richieste. Ad esempio, l'ID entità o l'URL di accesso possono essere estratti dai seguenti elementi nel file di metadati SP:

    Nota: nel file di metadati SP, l'URL di accesso è indicato come URL AssertionConsumerService (ACS).

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

    Nota: se richiesto dal tuo provider di identità SAML, imposta la limitazione del pubblico su zoneID.apigee-saml-login, che puoi copiare dall'elemento entityID nel file di metadati SP (mostrato sopra).

  6. Configura le impostazioni SAML per il provider di identità SAML.

    Nella sezione Impostazioni SAML, modifica i seguenti valori ottenuti dal file dei metadati del provider di identità SAML:

    Impostazione SAMLDescrizione
    URL di accessoURL a cui gli utenti vengono reindirizzati per accedere al provider di identità del portale SAML.
    Ad esempio: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL di uscitaURL a cui gli utenti vengono reindirizzati per uscire dal provider di identità del portale SAML.
    Nota: se il tuo provider di identità SAML non fornisce un URL di disconnessione, lascia vuoto questo campo. In questo caso, verrà impostato sullo stesso valore utilizzato per l'URL di accesso.
    ID entità IdPURL univoco per il provider di identità SAML.
    Ad esempio: http://www.okta.com/exkhgdyponHIp97po0h7

    Nota:a seconda del provider di identità SAML, questo campo potrebbe avere un nome diverso, ad esempio Entity ID, SP Entity ID, Audience URI e così via.

    Nota: il servizio SSO di Apigee non supporta le due funzionalità seguenti:

    • Aggiornamento automatico del certificato IdP mediante un URL di metadati IdP e scaricando i metadati periodicamente per aggiornare le modifiche sul lato del fornitore di servizi SSO Apigee.
    • Caricare un intero file XML di metadati IDP o utilizzare un URL di metadati IDP per la configurazione automatica dell'IdP.

  7. Fai clic su Salva.

Poi, carica un certificato in formato PEM o PKCSS, come descritto nella sezione successiva.

Carica un nuovo certificato

Per caricare un nuovo certificato:

  1. Scarica il certificato per la verifica della firma dal tuo provider di identità SAML.

    Nota: il certificato deve essere in formato PEM o PKCSS. Se necessario, converti un certificato x509 in formato PEM.

  2. Accedi alla pagina di amministrazione delle zone SSO Edge.

  3. Fai clic sulla riga della zona di identità per la quale vuoi caricare un nuovo certificato.

  4. Nella sezione Certificato, fai clic su .

  5. Fai clic su Sfoglia e vai al certificato nella directory locale.

  6. Fai clic su Apri per caricare il nuovo certificato.
    I campi Informazioni sul certificato vengono aggiornati in modo da riflettere il certificato selezionato.

  7. Verifica che il certificato sia valido e che non sia scaduto.

  8. Fai clic su Salva.

Converti un certificato x509 in formato PEM

Se scarichi un certificato x509, devi convertirlo in formato PEM.

Per convertire un certificato x509 in formato PEM:

  1. Copia i contenuti di ds:X509Certificate element dal file di metadati del provider di identità SAML e incollali nel tuo editor di testo preferito.
  2. Aggiungi la seguente riga nella parte superiore del file:
    -----BEGIN CERTIFICATE-----
  3. Aggiungi la seguente riga in fondo al file:
    -----END CERTIFICATE-----
  4. Salva il file utilizzando un'estensione .pem.

Di seguito è riportato un esempio dei contenuti del file PEM:

-----BEGIN CERTIFICATE-----
MIICMzCCAZygAwIBAgIJALiPnVsvq8dsMA0GCSqGSIb3DQEBBQUAMFMxCzAJBgNV
BAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNVBAcTA2ZvbzEMMAoGA1UEChMDZm9v
MQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2ZvbzAeFw0xMzAzMTkxNTQwMTlaFw0x
ODAzMTgxNTQwMTlaMFMxCzAJBgNVBAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNV
BAcTA2ZvbzEMMAoGA1UEChMDZm9vMQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2Zv
bzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAzdGfxi9CNbMf1UUcvDQh7MYB
OveIHyc0E0KIbhjK5FkCBU4CiZrbfHagaW7ZEcN0tt3EvpbOMxxc/ZQU2WN/s/wP
xph0pSfsfFsTKM4RhTWD2v4fgk+xZiKd1p0+L4hTtpwnEw0uXRVd0ki6muwV5y/P
+5FHUeldq+pgTcgzuK8CAwEAAaMPMA0wCwYDVR0PBAQDAgLkMA0GCSqGSIb3DQEB
BQUAA4GBAJiDAAtY0mQQeuxWdzLRzXmjvdSuL9GoyT3BF/jSnpxz5/58dba8pWen
v3pj4P3w5DoOso0rzkZy2jEsEitlVM2mLSbQpMM+MUVQCQoiG6W9xuCFuxSrwPIS
pAqEAuV4DNoxQKKWmhVv+J0ptMWD25Pnpxeq5sXzghfJnslJlQND
-----END CERTIFICATE-----

Connetti un'organizzazione Edge a una zona di identità

Per connettere un'organizzazione Edge a una zona di identità:

  1. Accedi alla pagina di amministrazione delle zone SSO Edge.
  2. Nella sezione Mappatura organizzazione, seleziona una zona di identità nel menu a discesa Zona di identità associata all'organizzazione che vuoi assegnare a una zona.
    Seleziona Nessuno (valore predefinito di Apigee) per abilitare l'autenticazione di base per l'organizzazione.
  3. Fai clic su Conferma per confermare la modifica.

Accedi alla tua organizzazione utilizzando la zona di identità

L'URL che utilizzi per accedere all'interfaccia utente Edge è definito dal nome della zona di identità:

https://zonename.apigee.com

Analogamente, l'URL che utilizzi per accedere all'interfaccia utente classica di Edge è il seguente:

https://zonename.enterprise.apigee.com

Ad esempio, Acme Inc. vuole utilizzare SAML e sceglie "acme" come nome della zona. I clienti di Acme Inc. accedono quindi all'interfaccia utente Edge con il seguente URL:

https://acme.apigee.com

La zona identifica le organizzazioni perimetrali che supportano SAML. Ad esempio, Acme Inc. ha tre organizzazioni: OrgA, OrgB e OrgC. Acme può decidere di aggiungere tutte le organizzazioni alla zona SAML o solo un sottoinsieme. Le altre organizzazioni continuano a utilizzare i token di autenticazione di base o OAuth2 generati dalle credenziali di autenticazione di base.

Puoi definire più zone di identità. Tutte le zone possono quindi essere configurate per l'utilizzo dello stesso provider di identità.

Ad esempio, Acme potrebbe voler definire una zona di produzione, "acme-prod", contenente OrgAProd e OrgBProd, e una zona di test, "acme-test", contenente OrgATest, OrgBTest, OrgADev e OrgBDev.

Successivamente, utilizza i seguenti URL per accedere alle diverse zone:

https://acme-prod.apigee.com
https://acme-test.apigee.com

Registrare gli utenti di Edge con l'autenticazione SAML

Dopo aver abilitato SAML per un'organizzazione, devi registrare gli utenti SAML che non sono già registrati nella tua organizzazione. Per saperne di più, vedi Gestire gli utenti dell'organizzazione.

Aggiorna gli script per trasmettere i token di accesso OAuth2

Dopo aver attivato SAML, l'autenticazione di base viene disattivata per l'API Edge. Tutti gli script (maven, script shell, apigeetool e così via) che si basano su chiamate dell'API Edge che supportano l'autenticazione di base non funzioneranno più. Devi aggiornare le chiamate API e gli script che utilizzano l'autenticazione di base per passare i token di accesso OAuth2 nell'intestazione di connessione. Vedi Utilizzo di SAML con l'API Edge.

Elimina una zona di identità

Per eliminare una zona di identità:

  1. Accedi alla pagina di amministrazione delle zone SSO Edge.
  2. Posiziona il cursore sulla riga associata alla zona di identità che vuoi eliminare per visualizzare il menu delle azioni.
  3. Fai clic su .
  4. Fai clic su Elimina per confermare l'operazione di eliminazione.

Esci dalla pagina Amministrazione zona SSO perimetrale

Poiché gestisci le zone di identità Edge all'esterno della tua organizzazione, dovrai uscire dalla pagina di amministrazione delle zone SSO Edge e quindi accedere alla tua organizzazione per poter accedere alle altre funzionalità di Apigee Edge.