Włącz SAML (beta)

Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje

Z tej sekcji dowiesz się, jak włączyć SAML dla Apigee Edge, aby umożliwić przekazywanie uwierzytelniania członków organizacji do własnej usługi tożsamości. Aby uzyskać informacje na temat SAML i zarządzania strefami tożsamości w przeglądarce Edge, zobacz Omówienie SAML.

Film: obejrzyj krótki film, aby dowiedzieć się, jak uzyskać dostęp do interfejsów Apigee Edge API przed włączeniem logowania jednokrotnego przez SAML i po jego włączeniu.

Informacje o roli Zoneadmin

Aby zarządzać strefami tożsamości w Edge, musisz być zoneadmin. Rola Zoneadmin zapewnia pełne procedury CRUD tylko do zarządzania strefami tożsamości.

Aby przypisać rolę Zoneadmin do konta Apigee Edge, skontaktuj się z zespołem pomocy Apigee Edge.

Zanim zaczniesz

Zanim zaczniesz, uzyskaj te informacje od zewnętrznego dostawcy tożsamości SAML:

  • Certyfikat do weryfikacji podpisu (w formacie PEM lub PKCSS). W razie potrzeby przekonwertuj certyfikat x509 na format PEM.

  • Informacje o konfiguracji (zdefiniowane w poniższej tabeli)

    Konfiguracja Opis
    Adres URL logowania Adres URL, pod który użytkownicy są przekierowywani do logowania się do dostawcy tożsamości SAML.
    URL strony wylogowania Adres URL, pod który użytkownicy są przekierowywani do wylogowania się z dostawcy tożsamości SAML.
    Identyfikator jednostki dostawcy tożsamości Unikalny adres URL tego dostawcy tożsamości. np.: https://idp.example.com/saml

Oprócz tego skonfiguruj zewnętrznego dostawcę tożsamości SAML przy użyciu tych ustawień:

  • Upewnij się, że atrybut NameID jest zmapowany na adres e-mail użytkownika. Adres e-mail użytkownika jest unikalnym identyfikatorem konta dewelopera Edge. Poniżej znajduje się przykład użycia narzędzia Okta, gdzie pole Format identyfikatora nazwy określa atrybut NameID.

  • (Opcjonalnie) Ustaw czas trwania uwierzytelnionej sesji na 15 dni, aby był zgodny z czasem trwania sesji uwierzytelnionej z interfejsu Edge.

Poznaj stronę Administrowanie strefą logowania na serwerach brzegowych

Zarządzaj strefami tożsamości dla Edge na stronie Administrowanie strefą logowania jednokrotnego na serwerach brzegowych. Strona Administrowanie strefą logowania jednokrotnego na serwerach brzegowych istnieje poza Twoją organizacją, która umożliwia przypisanie wielu organizacji do tej samej strefy tożsamości.

Aby uzyskać dostęp do strony Administracja strefy logowania jednokrotnego na serwerach brzegowych:

  1. Zaloguj się na https://apigee.com/edge przy użyciu konta użytkownika Apigee Edge z uprawnieniami Zoneadmin.
  2. Na pasku nawigacyjnym po lewej stronie wybierz Admin > SSO (Administracja > Logowanie jednokrotne).

Zostanie wyświetlona strona Administracja strefie logowania jednokrotnego na serwerach brzegowych (poza organizacją).

Jak zaznaczyliśmy na ilustracji, strona Administrowanie strefą logowania na serwerach brzegowych umożliwia:

Dodawanie strefy tożsamości

Aby dodać strefę tożsamości:

  1. Otwórz stronę Administracja strefie logowania jednokrotnego na serwerach brzegowych.
  2. W sekcji Strefy tożsamości kliknij +.

  3. Wpisz nazwę i opis strefy tożsamości.
    Nazwa strefy musi być niepowtarzalna we wszystkich organizacjach Edge.

    Uwaga: Apigee zastrzega sobie prawo do usunięcia nazwy strefy, która zostanie uznana za nieuzasadnioną.

  4. W razie potrzeby wpisz ciąg, który zostanie dołączony do subdomeny.
    Jeśli na przykład nazwa strefy to acme, możesz zdefiniować strefę produkcyjną (acme-prod) i strefę testową (acme-test).
    Aby utworzyć strefę produkcyjną, wpisz prod jako sufiks subdomeny. W tym przypadku adres URL używany do uzyskiwania dostępu do interfejsu Edge ma postać acme-prod.apigee.com, zgodnie z opisem w artykule Uzyskiwanie dostępu do organizacji przy użyciu strefy tożsamości.

    Uwaga: dołączony sufiks subdomeny musi być unikalny we wszystkich strefach.

  5. Kliknij OK.

  6. Skonfiguruj dostawcę tożsamości SAML.

Skonfiguruj dostawcę tożsamości SAML

Skonfiguruj dostawcę tożsamości SAML, wykonując te czynności:

  1. Skonfiguruj ustawienia SAML.
  2. Prześlij nowy certyfikat.
    W razie potrzeby przekonwertuj certyfikat x509 na format PEM.

Konfigurowanie ustawień SAML

Aby skonfigurować ustawienia SAML:

  1. Otwórz stronę Administracja strefie logowania jednokrotnego na serwerach brzegowych.
  2. Kliknij wiersz strefy tożsamości, dla której chcesz skonfigurować dostawcę tożsamości SAML.
  3. W sekcji SAML Settings (Ustawienia SAML) kliknij .

  4. Kliknij Kopiuj obok adresu URL metadanych dostawcy usług.

  5. Skonfiguruj dostawcę tożsamości SAML przy użyciu informacji z pliku metadanych dostawcy usług.

    W przypadku niektórych dostawców tożsamości SAML może się pojawić tylko prośba o podanie adresu URL metadanych. W innych przypadkach musisz wyodrębnić określone informacje z pliku metadanych i wpisać je w formularzu.

    W drugim przypadku wklej adres URL w przeglądarce, aby pobrać plik metadanych dostawcy usług i wyodrębnić wymagane informacje. Na przykład identyfikator jednostki lub adres URL logowania można wyodrębnić z następujących elementów w pliku metadanych dostawcy usług:

    Uwaga: w pliku metadanych dostawcy usług adres URL logowania jest nazywany adresem URL AssertionConsumerService (ACS).

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

    Uwaga: jeśli wymaga tego dostawca tożsamości SAML, ustaw ograniczenie odbiorców na zoneID.apigee-saml-login, które możesz skopiować z elementu entityID w pliku metadanych dostawcy usług (pokazanym powyżej).

  6. Skonfiguruj ustawienia SAML dla dostawcy tożsamości SAML.

    W sekcji SAML Settings (Ustawienia SAML) zmodyfikuj te wartości otrzymane z pliku metadanych dostawcy tożsamości SAML:

    Ustawienie SAMLOpis
    Adres URL logowaniaAdres URL, na który użytkownicy są przekierowywani do logowania się do dostawcy tożsamości portalu SAML.
    Na przykład: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL strony wylogowaniaAdres URL, na który użytkownicy są przekierowywani do wylogowywania się z dostawcy tożsamości portalu SAML.
    Uwaga: jeśli dostawca tożsamości SAML nie podaje adresu URL wylogowania, pozostaw to pole puste. W takim przypadku zostanie ustawiona taka sama wartość jak w przypadku adresu URL logowania.
    Identyfikator jednostki dostawcy tożsamościUnikalny URL dostawcy tożsamości SAML.
    Na przykład: http://www.okta.com/exkhgdyponHIp97po0h7

    Uwaga: w zależności od dostawcy tożsamości SAML to pole może mieć inną nazwę, na przykład Entity ID, SP Entity ID, Audience URI itd.

    Uwaga: logowanie jednokrotne w Apigee nie obsługuje tych 2 funkcji:

    • Automatyczne odświeżanie certyfikatu dostawcy tożsamości za pomocą adresu URL metadanych dostawcy tożsamości i okresowego pobierania metadanych w celu zaktualizowania zmian po stronie dostawcy usługi logowania jednokrotnego w Apigee.
    • Przesłanie całego pliku XML z metadanymi dostawcy tożsamości lub użycie adresu URL metadanych dostawcy tożsamości na potrzeby automatycznej konfiguracji dostawcy tożsamości.

  7. Kliknij Zapisz.

Następnie prześlij certyfikat w formacie PEM lub PKCSS, zgodnie z opisem w następnej sekcji.

Prześlij nowy certyfikat

Aby przesłać nowy certyfikat:

  1. Pobierz certyfikat od dostawcy tożsamości SAML do weryfikacji podpisu.

    Uwaga: certyfikat musi być w formacie PEM lub PKCSS. W razie potrzeby przekonwertuj certyfikat x509 na format PEM.

  2. Otwórz stronę Administracja strefie logowania jednokrotnego na serwerach brzegowych.

  3. Kliknij wiersz strefy tożsamości, do której chcesz przesłać nowy certyfikat.

  4. W sekcji Certyfikat kliknij .

  5. Kliknij Przeglądaj i przejdź do certyfikatu w katalogu lokalnym.

  6. Kliknij Otwórz, aby przesłać nowy certyfikat.
    Pola z informacjami o certyfikacie zostaną zaktualizowane, aby odzwierciedlały wybrany certyfikat.

  7. Sprawdź, czy certyfikat jest ważny i nie utracił ważności.

  8. Kliknij Zapisz.

Konwertowanie certyfikatu x509 na format PEM

Jeśli pobierzesz certyfikat x509, musisz przekonwertować go na format PEM.

Aby przekonwertować certyfikat x509 na format PEM:

  1. Skopiuj zawartość pola ds:X509Certificate element z pliku metadanych dostawcy tożsamości SAML i wklej ją w ulubionym edytorze tekstu.
  2. Na początku pliku dodaj ten wiersz:
    -----BEGIN CERTIFICATE-----
  3. Na dole pliku dodaj ten wiersz:
    -----END CERTIFICATE-----
  4. Zapisz plik za pomocą rozszerzenia .pem.

Poniżej znajdziesz przykład zawartości pliku PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Łączenie organizacji Edge ze strefą tożsamości

Aby połączyć organizację Edge ze strefą tożsamości:

  1. Otwórz stronę Administracja strefie logowania jednokrotnego na serwerach brzegowych.
  2. W sekcji Mapowanie organizacji wybierz w menu Strefa tożsamości strefę tożsamości powiązaną z organizacją, którą chcesz przypisać do strefy.
    Wybierz Brak (domyślnie Apigee), aby włączyć uwierzytelnianie podstawowe w organizacji.
  3. Kliknij Potwierdź, aby potwierdzić zmianę.

Uzyskiwanie dostępu do organizacji przy użyciu strefy tożsamości

Adres URL używany do uzyskiwania dostępu do interfejsu Edge jest definiowany przez nazwę strefy tożsamości:

https://zonename.apigee.com

Podobnie adres URL, którego używasz, aby uzyskać dostęp do klasycznego interfejsu użytkownika Edge, wygląda tak:

https://zonename.enterprise.apigee.com

Na przykład firma Acme Inc. chce korzystać z SAML i wybiera „acme” jako nazwę strefy. Klienci firmy Acme Inc. następnie uzyskują dostęp do interfejsu użytkownika Edge za pomocą tego adresu URL:

https://acme.apigee.com

Strefa identyfikuje organizacje brzegowe obsługujące SAML. Na przykład Acme Inc. ma 3 organizacje: OrgA, OrgB i OrgC. Firma Acme może dodać do strefy SAML wszystkie organizacje lub tylko część podzbioru. Pozostałe organizacje nadal używają uwierzytelniania podstawowego lub tokenów OAuth2 wygenerowanych na podstawie podstawowych danych logowania.

Możesz zdefiniować wiele stref tożsamości. Następnie możesz skonfigurować wszystkie strefy tak, aby korzystały z tego samego dostawcy tożsamości.

Na przykład firma Acme może chcieć zdefiniować strefę produkcyjną „acme-prod”, zawierającą OrgAProd i OrgBProd oraz strefę testową „acme-test”, zawierającą OrgATest, OrgBTest, OrgADev i OrgBDev.

Następnie za pomocą tych adresów URL możesz uzyskać dostęp do różnych stref:

https://acme-prod.apigee.com
https://acme-test.apigee.com

Rejestrowanie użytkowników Edge za pomocą uwierzytelniania SAML

Po włączeniu SAML w organizacji musisz zarejestrować użytkowników SAML, którzy nie są jeszcze zarejestrowani w tej organizacji. Więcej informacji znajdziesz w artykule Zarządzanie użytkownikami w organizacji.

Zaktualizuj skrypty, aby przekazywać tokeny dostępu OAuth2

Gdy włączysz SAML, uwierzytelnianie podstawowe jest wyłączone dla interfejsu Edge API. Wszystkie skrypty (skrypty Maven, skrypty powłoki, apigeetool itd.) korzystające z wywołań interfejsu Edge API obsługujących podstawowe uwierzytelnianie przestaną działać. Musisz zaktualizować wywołania i skrypty interfejsu API korzystające z uwierzytelniania podstawowego, aby przekazywać tokeny dostępu OAuth2 w nagłówku okaziciela. Zobacz Używanie SAML z interfejsem Edge API.

Usuwanie strefy tożsamości

Aby usunąć strefę tożsamości:

  1. Otwórz stronę Administracja strefie logowania jednokrotnego na serwerach brzegowych.
  2. Najedź kursorem na wiersz powiązany ze strefą tożsamości, którą chcesz usunąć, aby wyświetlić menu czynności.
  3. Kliknij .
  4. Kliknij Usuń, aby potwierdzić operację usuwania.

Wyloguj się ze strony Administracja stref logowania na serwerach brzegowych

Ponieważ zarządzasz strefami tożsamości brzegowych poza organizacją, musisz wylogować się ze strony Administracja stref logowania Edge, a następnie zalogować się w swojej organizacji, aby uzyskać dostęp do innych funkcji Apigee Edge.