Ativar SAML (Beta)

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X. informações

Nesta seção, descrevemos como ativar o SAML para o Apigee Edge para que a autenticação de membros da sua organização possa ser delegada ao próprio serviço de identidade. Para uma visão geral do SAML e do gerenciamento de zonas de identidade no Edge, consulte Visão geral do SAML.

Vídeo:assista um vídeo curto para saber como acessar as APIs Apigee Edge antes e depois de ativar o Logon único (SSO) usando SAML.

Sobre o papel zoneadmin

Você precisa ser um zoneadmin para gerenciar zonas de identidade no Edge. O papel zoneadmin fornece procedimentos CRUD completos apenas para o gerenciamento de zonas de identidade.

Para atribuir o papel zoneadmin à sua conta do Apigee Edge, entre em contato com o suporte do Apigee Edge.

Antes de começar

Antes de começar, acesse estas informações no seu provedor de identidade SAML de terceiros:

  • Certificado para verificação de assinatura (formato PEM ou PKCSS). Se necessário, converta um certificado x509 para o formato PEM (em inglês).

  • Informações de configuração (definidas na tabela a seguir)

    Configuração Descrição
    URL de login URL para onde os usuários são redirecionados para fazer login no provedor de identidade SAML.
    URL de êxito de logout URL para o qual os usuários são redirecionados para sair do provedor de identidade SAML.
    ID da entidade do IdP URL exclusivo deste provedor de identidade. Exemplo: https://idp.example.com/saml

Além disso, configure o provedor de identidade SAML de terceiros com estas configurações:

  • Verifique se o atributo NameID está mapeado para o endereço de e-mail do usuário. O endereço de e-mail do usuário serve como o identificador exclusivo da conta de desenvolvedor do Edge. Confira a seguir um exemplo que usa o Okta, em que o campo Formato do ID de nome define o atributo NameID.

  • (Opcional) Defina a duração da sessão autenticada como 15 dias para corresponder à duração da sessão autenticada na interface do usuário do Edge.

Conheça a página de administração da zona SSO no Edge

Gerencie zonas de identidade para o Edge usando a página Administração da Zona de SSO no Edge. A página de Administração da Zona de SSO de borda fora da sua organização, permitindo que você atribua várias organizações à mesma zona de identidade.

Para acessar a página de administração da zona de SSO no Edge:

  1. Faça login em https://apigee.com/edge usando uma conta de usuário do Apigee Edge com privilégios de zoneadmin.
  2. Selecione Admin > SSO na barra de navegação à esquerda.
    .

A página "Administração da Zona de SSO de borda" aparece (fora da sua organização).

Como destacado na figura, a página "Administração da zona SSO de borda" permite que você:

Adicionar uma zona de identidade

Para adicionar uma zona de identidade:

  1. Acesse a página de administração da Zona de SSO no Edge.
  2. Na seção "Zonas de identidade", clique em +.

  3. Digite um nome e uma descrição para a zona de identidade.
    O nome da zona precisa ser exclusivo em todas as organizações de Edge.

    Observação: a Apigee reserva o direito de remover qualquer nome de zona considerado injustificável.

  4. Insira uma string para anexar ao subdomínio, se necessário.
    Por exemplo, se acme for o nome da zona, defina uma zona de produção, acme-prod, e uma zona de teste, acme-test.
    Para criar a zona de produção, digite prod como o sufixo do subdomínio. Neste caso, o URL usado para acessar a interface do Edge seria: acme-prod.apigee.com, conforme descrito em Acessar sua organização usando a zona de identidade.

    Observação: o sufixo do subdomínio anexado precisa ser exclusivo em todas as suas zonas.

  5. Clique em OK.

  6. Configure o provedor de identidade SAML.

Configurar o provedor de identidade SAML

Configure o provedor de identidade SAML seguindo estas etapas:

  1. Defina as configurações de SAML.
  2. Fazer upload de um novo certificado.
    Se necessário, converta um certificado x509 para o formato PEM.

Configurar as definições de SAML

Para definir as configurações de SAML:

  1. Acesse a página de administração da Zona de SSO no Edge.
  2. Clique na linha da zona de identidade para configurar o provedor de identidade SAML.
  3. Na seção SAML Settings, clique em .

  4. Clique em Copiar ao lado de URL de metadados do SP.

  5. Configure seu provedor de identidade SAML usando as informações no arquivo de metadados do provedor de serviços (SP, na sigla em inglês).

    Para alguns provedores de identidade SAML, será solicitado apenas o URL de metadados. Para outros, será necessário extrair informações específicas do arquivo de metadados e inseri-las em um formulário.

    No último caso, cole o URL em um navegador para fazer o download do arquivo de metadados SP e extrair as informações necessárias. Por exemplo, o ID da entidade ou o URL de login pode ser extraído dos seguintes elementos no arquivo de metadados do SP:

    Observação: no arquivo de metadados do SP, o URL de login é chamado de URL do AssertionConsumerService (ACS).

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

    Observação: se exigido pelo provedor de identidade SAML, defina a restrição de público como zoneID.apigee-saml-login, que você pode copiar do elemento entityID no arquivo de metadados do SP (mostrado acima).

  6. Defina as configurações de SAML para o provedor de identidade SAML.

    Na seção SAML Settings, edite os seguintes valores recebidos do arquivo de metadados do provedor de identidade SAML:

    Configuração de SAMLDescrição
    URL de loginURL para onde os usuários são redirecionados para fazer login no provedor de identidade do portal SAML.
    Por exemplo: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL de êxito de logoutURL para o qual os usuários são redirecionados para sair do provedor de identidade do portal SAML.
    Observação: se o seu provedor de identidade SAML não fornecer um URL de saída, deixe este campo em branco. Nesse caso, ele será definido com o mesmo valor usado para o URL de login.
    ID da entidade do IdPURL exclusivo do provedor de identidade SAML.
    Por exemplo: http://www.okta.com/exkhgdyponHIp97po0h7

    Observação:dependendo do provedor de identidade SAML, esse campo pode ter um nome diferente, como Entity ID, SP Entity ID, Audience URI etc.

    Observação: o SSO da Apigee não oferece suporte aos dois recursos a seguir:

    • Atualização automática do certificado do IdP usando um URL de metadados do IdP e fazendo o download dos metadados periodicamente para atualizar as alterações no provedor de serviços de SSO da Apigee.
    • Fazer upload de um arquivo XML inteiro de metadados do IdP ou usar um URL de metadados do IdP para configuração automática do IdP.

  7. Clique em Salvar.

Em seguida, faça upload de um certificado em formato PEM ou PKCSS, conforme descrito na próxima seção.

Enviar um novo certificado

Para fazer upload de um novo certificado:

  1. Faça o download do certificado para verificação de assinatura do seu provedor de identidade SAML.

    Observação: o certificado precisa estar no formato PEM ou PKCSS. Se necessário, converta um certificado x509 para o formato PEM.

  2. Acesse a página de administração da Zona de SSO no Edge.

  3. Clique na linha da zona de identidade para a qual você quer fazer upload de um novo certificado.

  4. Na seção Certificado, clique em .

  5. Clique em Browse e navegue até o certificado no seu diretório local.

  6. Clique em Abrir para fazer o upload do novo certificado.
    Os campos de informações do certificado são atualizados para refletir o certificado selecionado.

  7. Verifique se o certificado é válido e não expirou.

  8. Clique em Salvar.

Converter um certificado x509 para o formato PEM

Se você fizer o download de um certificado x509, será necessário convertê-lo para o formato PEM.

Para converter um certificado x509 para o formato PEM:

  1. Copie o conteúdo de ds:X509Certificate element do arquivo de metadados do provedor de identidade SAML e cole-o no seu editor de texto favorito.
  2. Adicione a seguinte linha à parte de cima do arquivo:
    -----BEGIN CERTIFICATE-----
  3. Adicione a linha abaixo à parte de baixo do arquivo:
    -----END CERTIFICATE-----
  4. Salve o arquivo usando uma extensão .pem.

Veja a seguir um exemplo de conteúdo do arquivo PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Conectar uma organização de Edge a uma zona de identidade

Para conectar uma organização de Edge a uma zona de identidade:

  1. Acesse a página de administração da Zona de SSO no Edge.
  2. Na seção Mapeamento da organização, selecione uma zona de identidade no menu suspenso Zona de identidade associado à organização que você quer atribuir a uma zona.
    Selecione Nenhum (padrão da Apigee) para ativar a autenticação básica para a organização.
  3. Clique em Confirmar para confirmar a mudança.

Acessar a organização usando a zona de identidade

O URL que você usa para acessar a IU do Edge é definido pelo nome da sua zona de identidade:

https://zonename.apigee.com

Da mesma forma, o URL que você usa para acessar a interface clássica do Edge é o seguinte:

https://zonename.enterprise.apigee.com

Por exemplo, Acme Inc. deseja usar SAML e escolhe "acme" como nome de zona. Os clientes da Acme Inc. acessam a interface do usuário do Edge com o seguinte URL:

https://acme.apigee.com

A zona identifica as organizações de Edge compatíveis com SAML. Por exemplo, a Acme Inc. tem três organizações: OrgA, OrgB e OrgC. A Acme pode adicionar todas as organizações à zona SAML ou apenas um subconjunto. As organizações restantes continuam usando tokens de autenticação básica ou OAuth2 gerados com base nas credenciais desse tipo.

É possível definir várias zonas de identidade. Todas as zonas podem ser configuradas para usar o mesmo provedor de identidade.

Por exemplo, a Acme pode definir a zona de produção "acme-prod", que contém OrgAProd e OrgBProd, e uma zona de teste, "acme-test", contendo OrgATest, OrgBTest, OrgADev e OrgBDev.

Em seguida, você usa os seguintes URLs para acessar as diferentes zonas:

https://acme-prod.apigee.com
https://acme-test.apigee.com

Registrar usuários do Edge com a autenticação SAML

Depois de ativar o SAML para uma organização, você precisará registrar os usuários desse serviço que ainda não estão registrados nela. Veja mais informações em Gerenciar usuários da organização.

Atualizar scripts para transmitir tokens de acesso do OAuth2

Depois que você ativar o SAML, a Autenticação básica será desativada para a API Edge. Todos os scripts (scripts Maven, scripts de shell, apigeetool e assim por diante) que dependem de chamadas da API Edge compatíveis com a autenticação básica não funcionarão mais. É necessário atualizar as chamadas de API e os scripts que usam a autenticação básica para transmitir tokens de acesso do OAuth2 no cabeçalho do portador. Consulte Como usar SAML com a API Edge.

Excluir uma zona de identidade

Para excluir uma zona de identidade:

  1. Acesse a página de administração da Zona de SSO no Edge.
  2. Posicione o cursor sobre a linha associada à zona de identidade que você quer excluir para exibir o menu de ações.
  3. Clique em .
  4. Clique em Excluir para confirmar a operação de exclusão.

Sair da página de administração da zona de SSO no Edge

Como você gerencia zonas de identidade do Edge fora da sua organização, precisará sair da página "Administração da Zona de SSO do Edge" e fazer login na sua organização para acessar outros recursos do Apigee Edge.