คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล
ส่วนนี้จะอธิบายวิธีเปิดใช้ SAML สำหรับ Apigee Edge เพื่อมอบสิทธิ์การตรวจสอบสิทธิ์สมาชิกขององค์กรให้กับบริการข้อมูลประจำตัวของคุณเอง สำหรับภาพรวมของ SAML และการจัดการโซนข้อมูลประจำตัวใน Edge โปรดดูที่ภาพรวม SAML
วิดีโอ: ดูวิดีโอสั้นๆ เพื่อดูวิธีเข้าถึง Apigee Edge API ก่อนและหลังจากการเปิดใช้การลงชื่อเพียงครั้งเดียว (SSO) โดยใช้ SAML
เกี่ยวกับบทบาทผู้ดูแลระบบโซน
คุณต้องเป็น zoneadmin จึงจะจัดการโซนข้อมูลระบุตัวตนใน Edge ได้ บทบาทผู้ดูแลระบบโซนมีกระบวนการ CRUD เต็มรูปแบบสำหรับการจัดการโซนข้อมูลประจำตัวเท่านั้น
หากต้องการมอบหมายบทบาทผู้ดูแลระบบโซนให้กับบัญชี Apigee Edge ของคุณ โปรดติดต่อทีมสนับสนุนของ Apigee Edge
ก่อนเริ่มต้น
ก่อนเริ่มต้น ให้ขอข้อมูลต่อไปนี้จากผู้ให้บริการข้อมูลประจำตัว SAML บุคคลที่สาม
- ใบรับรองสำหรับการยืนยันลายเซ็น (รูปแบบ PEM หรือ PKCSS) หากจำเป็น ให้แปลงใบรับรอง x509 เป็นรูปแบบ PEM
ข้อมูลการกำหนดค่า (ตามที่กำหนดไว้ในตารางต่อไปนี้)
การกำหนดค่า คำอธิบาย URL สำหรับลงชื่อเข้าใช้ URL ที่ระบบจะเปลี่ยนเส้นทางผู้ใช้ไปเพื่อลงชื่อเข้าใช้ผู้ให้บริการข้อมูลประจำตัว SAML URL สำหรับออกจากระบบ URL ที่ระบบเปลี่ยนเส้นทางผู้ใช้ไปเพื่อให้ออกจากระบบของผู้ให้บริการข้อมูลประจำตัว SAML รหัสเอนทิตีของ IDP URL ที่ไม่ซ้ำกันสำหรับผู้ให้บริการข้อมูลประจำตัวรายนี้ เช่น https://idp.example.com/saml
นอกจากนี้ ให้กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML บุคคลที่สามด้วยการตั้งค่าต่อไปนี้
- ตรวจสอบว่าแอตทริบิวต์
NameID
จับคู่กับอีเมลของผู้ใช้แล้ว โดยอีเมลของผู้ใช้จะเป็นตัวระบุที่ไม่ซ้ำกันของบัญชีนักพัฒนาแอป Edge ตัวอย่างต่อไปนี้แสดงตัวอย่างการใช้ Okta ซึ่งช่องรูปแบบรหัสชื่อจะกำหนดแอตทริบิวต์NameID
- (ไม่บังคับ) ตั้งค่าระยะเวลาเซสชันที่ตรวจสอบสิทธิ์แล้วเป็น 15 วันให้ตรงกับระยะเวลาของเซสชันที่ตรวจสอบสิทธิ์แล้วของ Edge UI
สํารวจหน้า Edge SSO Zone Administration
จัดการโซนข้อมูลประจำตัวสำหรับ Edge โดยใช้หน้าการดูแลระบบโซน Edge SSO หน้า Edge SSO Zone Administration อยู่ภายนอกองค์กร ซึ่งช่วยให้คุณมอบหมายหลายองค์กรให้กับโซนข้อมูลประจำตัวเดียวกันได้
วิธีเข้าถึงหน้าการดูแลระบบโซน SSO ของ Edge
- ลงชื่อเข้าใช้ https://apigee.com/edge โดยใช้บัญชีผู้ใช้ Apigee Edge ที่มีสิทธิ์ของzoneadmin
- เลือก Admin > SSO ในแถบนำทางด้านซ้าย
หน้าการดูแลระบบโซน Edge SSO จะปรากฏขึ้น (นอกองค์กรของคุณ)
ตามที่ไฮไลต์ในรูป หน้าการดูแลระบบโซน SSO ของ Edge จะช่วยให้คุณทำสิ่งต่อไปนี้ได้
- ดูโซนข้อมูลประจำตัวทั้งหมด
- ดู URL เข้าสู่ระบบสําหรับแต่ละโซน
- เพิ่มและลบโซนข้อมูลระบุตัวตน
- กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML
- เชื่อมต่อองค์กร Edge กับโซนข้อมูลประจำตัว
- ลบโซนข้อมูลระบุตัวตนของพอร์ทัล
เพิ่มโซนข้อมูลระบุตัวตน
วิธีเพิ่มโซนข้อมูลระบุตัวตน
- เข้าถึงหน้าการดูแลระบบโซน Edge SSO
- ในส่วนโซนข้อมูลประจำตัว ให้คลิก +
ป้อนชื่อและคำอธิบายโซนข้อมูลระบุตัวตน
ชื่อโซนต้องไม่ซ้ำกันในองค์กร Edge ทั้งหมดหมายเหตุ: Apigee ขอสงวนสิทธิ์ในการนำชื่อโซนที่ถือว่าไม่สมเหตุสมผลออก
ป้อนสตริงเพื่อต่อท้ายโดเมนย่อย หากจำเป็น
เช่น หากacme
เป็นชื่อโซน คุณอาจต้องกำหนดโซนที่ใช้งานจริงacme-prod
และโซนทดสอบacme-test
หากต้องการสร้างโซนที่ใช้งานจริง ให้ป้อน prod เป็นคำต่อท้ายโดเมนย่อย ในกรณีนี้ URL ที่ใช้เข้าถึง Edge UI จะเป็นacme-prod.apigee.com
ตามที่อธิบายไว้ในเข้าถึงองค์กรโดยใช้โซนข้อมูลประจำตัวหมายเหตุ: คำต่อท้ายโดเมนย่อยที่ต่อท้ายต้องไม่ซ้ำกันในทุกโซน
คลิกตกลง
กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML
กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML โดยทำตามขั้นตอนต่อไปนี้
กำหนดการตั้งค่า SAML
วิธีกำหนดการตั้งค่า SAML
- เข้าถึงหน้าการดูแลระบบโซน Edge SSO
- คลิกแถวของโซนข้อมูลประจำตัวที่ต้องการกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML
- คลิก ในส่วน SAML Settings
คลิกคัดลอกที่อยู่ติดกับ URL ข้อมูลเมตา SP
กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML โดยใช้ข้อมูลในไฟล์ข้อมูลเมตาของผู้ให้บริการ (SP)
สำหรับผู้ให้บริการข้อมูลประจำตัว SAML บางราย คุณจะได้รับข้อความแจ้งให้ระบุ URL ของข้อมูลเมตาเท่านั้น สำหรับระบบอื่นๆ คุณจะต้องดึงข้อมูลที่ต้องการจากไฟล์ข้อมูลเมตาแล้วป้อนลงในแบบฟอร์ม
ในกรณีหลัง ให้วาง URL ลงในเบราว์เซอร์เพื่อดาวน์โหลดไฟล์ข้อมูลเมตา SP และดึงข้อมูลที่จำเป็น เช่น รหัสเอนทิตีหรือ URL การลงชื่อเข้าใช้จะดึงข้อมูลจากองค์ประกอบต่อไปนี้ในไฟล์ข้อมูลเมตา SP ได้หมายเหตุ: ในไฟล์ข้อมูลเมตา SP นั้น URL การลงชื่อเข้าใช้จะเรียกว่า
AssertionConsumerService
(ACS) URL<md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
<md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
หมายเหตุ: หากผู้ให้บริการข้อมูลประจำตัว SAML กำหนดไว้ ให้ตั้งค่าข้อจำกัดกลุ่มเป้าหมายเป็น zoneID.apigee-saml-login ซึ่งคุณจะคัดลอกได้จากองค์ประกอบ
entityID
ในไฟล์ข้อมูลเมตา SP (ดังที่แสดงด้านบน)กำหนดการตั้งค่า SAML สำหรับผู้ให้บริการข้อมูลประจำตัว SAML
ในส่วน SAML Settings ให้แก้ไขค่าต่อไปนี้ที่ได้รับจากไฟล์ข้อมูลเมตาผู้ให้บริการข้อมูลประจำตัว SAML
การตั้งค่า SAML คำอธิบาย URL สำหรับลงชื่อเข้าใช้ URL ที่ระบบเปลี่ยนเส้นทางผู้ใช้เพื่อให้ลงชื่อเข้าใช้ในระบบผู้ให้บริการข้อมูลประจำตัวพอร์ทัล SAML
ตัวอย่างเช่นhttps://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
URL สำหรับออกจากระบบ URL ที่ระบบเปลี่ยนเส้นทางผู้ใช้ให้ออกจากระบบของผู้ให้บริการข้อมูลประจำตัวพอร์ทัล SAML
หมายเหตุ: หากผู้ให้บริการข้อมูลประจำตัว SAML ไม่ได้ให้ URL การออกจากระบบ ให้ปล่อยช่องนี้ว่างไว้ ในกรณีนี้ ระบบจะตั้งค่าเป็นค่าเดียวกับที่ใช้สำหรับ URL การลงชื่อเข้าใช้รหัสเอนทิตีของ IDP URL ที่ไม่ซ้ำกันสำหรับผู้ให้บริการข้อมูลประจำตัว SAML
เช่นhttp://www.okta.com/exkhgdyponHIp97po0h7
หมายเหตุ: ช่องนี้อาจใช้ชื่ออื่น เช่น
Entity ID
,SP Entity ID
,Audience URI
และอื่นๆ โดยขึ้นอยู่กับผู้ให้บริการข้อมูลประจำตัว SAMLหมายเหตุ: SSO ของ Apigee ไม่รองรับฟีเจอร์ 2 รายการต่อไปนี้
- รีเฟรชใบรับรอง IdP อัตโนมัติโดยใช้ URL ข้อมูลเมตา IDP และดาวน์โหลดข้อมูลเมตาเป็นระยะๆ เพื่ออัปเดตการเปลี่ยนแปลงในฝั่งผู้ให้บริการ SSO ของ Apigee
- การอัปโหลดไฟล์ XML ของข้อมูลเมตา IDP ทั้งหมด หรือใช้ URL ข้อมูลเมตา IDP สำหรับการกำหนดค่า IDP อัตโนมัติ
คลิกบันทึก
จากนั้น อัปโหลดใบรับรองในรูปแบบ PEM หรือ PKCSS ดังที่อธิบายไว้ในส่วนถัดไป
อัปโหลดใบรับรองใหม่
วิธีอัปโหลดใบรับรองใหม่
ดาวน์โหลดใบรับรองเพื่อยืนยันลายเซ็นจากผู้ให้บริการข้อมูลประจำตัว SAML
หมายเหตุ: ใบรับรองต้องอยู่ในรูปแบบ PEM หรือ PKCSS หากจำเป็น ให้แปลงใบรับรอง x509 เป็นรูปแบบ PEM
คลิกแถวของโซนข้อมูลประจำตัวที่ต้องการอัปโหลดใบรับรองใหม่
คลิก ในส่วนใบรับรอง
คลิกเรียกดูและไปที่ใบรับรองในไดเรกทอรีในเครื่อง
คลิกเปิดเพื่ออัปโหลดใบรับรองใหม่
ระบบจะอัปเดตช่องข้อมูลใบรับรองเพื่อให้สอดคล้องกับใบรับรองที่เลือก
ตรวจสอบว่าใบรับรองถูกต้องและไม่หมดอายุ
คลิกบันทึก
แปลงใบรับรอง x509 เป็นรูปแบบ PEM
หากคุณดาวน์โหลดใบรับรอง x509 คุณต้องแปลงเป็นรูปแบบ PEM
หากต้องการแปลงใบรับรอง x509 เป็นรูปแบบ PEM ให้ทำดังนี้
- คัดลอกเนื้อหาของ
ds:X509Certificate element
จากไฟล์ข้อมูลเมตาของผู้ให้บริการข้อมูลประจำตัว SAML และวางลงในเครื่องมือแก้ไขข้อความที่ต้องการ - เพิ่มบรรทัดต่อไปนี้ที่ด้านบนของไฟล์
-----BEGIN CERTIFICATE-----
- เพิ่มบรรทัดต่อไปนี้ที่ด้านล่างของไฟล์
-----END CERTIFICATE-----
- บันทึกไฟล์โดยใช้ส่วนขยาย
.pem
ตัวอย่างต่อไปนี้คือตัวอย่างเนื้อหาไฟล์ PEM
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
เชื่อมต่อองค์กร Edge กับโซนข้อมูลประจำตัว
หากต้องการเชื่อมต่อองค์กร Edge กับโซนข้อมูลประจำตัว ให้ทำดังนี้
- เข้าถึงหน้าการดูแลระบบโซน Edge SSO
- ในส่วนการแมปองค์กร ให้เลือกโซนข้อมูลประจำตัวในเมนูแบบเลื่อนลงโซนข้อมูลประจำตัวที่เชื่อมโยงกับองค์กรที่คุณต้องการมอบหมายให้กับโซน
เลือกไม่มี (ค่าเริ่มต้นของ Apigee) เพื่อเปิดใช้การตรวจสอบสิทธิ์พื้นฐานสำหรับองค์กร - คลิกยืนยันเพื่อยืนยันการเปลี่ยนแปลง
เข้าถึงองค์กรโดยใช้โซนข้อมูลประจำตัว
URL ที่คุณใช้เพื่อเข้าถึง Edge UI จะกำหนดโดยชื่อโซนข้อมูลประจำตัวของคุณ ดังนี้
https://zonename.apigee.com
ในทำนองเดียวกัน URL ที่คุณใช้เข้าถึง UI แบบคลาสสิกของ Edge จะเป็นดังนี้
https://zonename.enterprise.apigee.com
เช่น Acme Inc. ต้องการใช้ SAML และเลือก "acme" เป็นชื่อโซน จากนั้นลูกค้า Acme Inc. จะเข้าถึง Edge UI โดยใช้ URL ต่อไปนี้
https://acme.apigee.com
โซนจะระบุองค์กร Edge ที่รองรับ SAML ตัวอย่างเช่น Acme Inc. มี 3 องค์กร คือ OrgA, OrgB และ OrgC Acme สามารถเลือกเพิ่มองค์กรทั้งหมดไปยังโซน SAML หรือเพิ่มเฉพาะส่วนย่อย องค์กรที่เหลือจะยังคงใช้โทเค็นการตรวจสอบสิทธิ์พื้นฐานหรือโทเค็น OAuth2 ที่สร้างจากข้อมูลเข้าสู่ระบบการตรวจสอบสิทธิ์พื้นฐานต่อไป
คุณกำหนดโซนข้อมูลประจำตัวได้หลายโซน จากนั้นจะกำหนดค่าโซนทั้งหมดให้ใช้ผู้ให้บริการข้อมูลประจำตัวรายเดียวกันได้
ตัวอย่างเช่น Acme อาจต้องกำหนดโซนที่ใช้งานจริง "acme-prod" ซึ่งประกอบด้วย OrgAProd และ OrgBProd และโซนทดสอบคือ "acme-test" ซึ่งมี OrgATest, OrgBTest, OrgADev และ OrgBDev
จากนั้นคุณใช้ URL ต่อไปนี้เพื่อเข้าถึงโซนต่างๆ
https://acme-prod.apigee.com https://acme-test.apigee.com
ลงทะเบียนผู้ใช้ Edge ด้วยการตรวจสอบสิทธิ์ SAML
หลังจากเปิดใช้ SAML ให้กับองค์กรแล้ว คุณต้องลงทะเบียนผู้ใช้ SAML ที่ยังไม่ได้ลงทะเบียนกับองค์กร โปรดดูข้อมูลเพิ่มเติมในจัดการผู้ใช้ขององค์กร
อัปเดตสคริปต์เพื่อส่งโทเค็นเพื่อการเข้าถึง OAuth2
หลังจากเปิดใช้ SAML ระบบจะปิดใช้การตรวจสอบสิทธิ์พื้นฐานสำหรับ Edge API สคริปต์ทั้งหมด (สคริปต์ Maven, สคริปต์ Shell, apigeetool
และอื่นๆ) ที่อาศัยการเรียก Edge API ที่รองรับการตรวจสอบสิทธิ์พื้นฐานจะใช้ไม่ได้อีกต่อไป คุณต้องอัปเดตการเรียก API และสคริปต์ที่ใช้การตรวจสอบสิทธิ์พื้นฐานเพื่อส่งโทเค็นเพื่อการเข้าถึง OAuth2 ในส่วนหัวของผู้ถือ โปรดดูการใช้ SAML กับ Edge API
ลบโซนข้อมูลระบุตัวตน
วิธีลบโซนข้อมูลระบุตัวตน
- เข้าถึงหน้าการดูแลระบบโซน Edge SSO
- วางเคอร์เซอร์ไว้บนแถวที่เชื่อมโยงกับโซนข้อมูลประจำตัวที่คุณต้องการลบ เพื่อแสดงเมนูการทำงาน
- คลิก
- คลิกลบเพื่อยืนยันการดำเนินการลบ
ออกจากระบบหน้า Edge SSO Zone Administration
เนื่องจากคุณจัดการโซนข้อมูลประจำตัวของ Edge ภายนอกองค์กร คุณจึงต้องออกจากระบบหน้าการดูแลระบบโซน Edge SSO แล้วลงชื่อเข้าใช้องค์กรเพื่อให้เข้าถึงฟีเจอร์อื่นๆ ของ Apigee Edge ได้