SAML'yi (Beta) etkinleştir

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. bilgi

Bu bölümde, kuruluşunuzdaki üyelerin kimlik doğrulama yetkisinin kendi kimlik hizmetinize atanabilmesi için Apigee Edge'de SAML'yi nasıl etkinleştireceğiniz açıklanmaktadır. Edge'de SAML ve kimlik bölgesi yönetimine genel bakış için SAML'ye genel bakış başlıklı makaleyi inceleyin.

Bölge yöneticisi rolü hakkında

Edge'de kimlik alt bölgelerini yönetmek için alt bölge yöneticisi olmanız gerekir. Bölge yöneticisi rolü, yalnızca kimlik alt bölgelerini yönetmek için tam CRUD prosedürleri sağlar.

Apigee Edge hesabınıza bölge yöneticisi rolünün atanmasını sağlamak için Apigee Edge Destek Ekibi ile iletişime geçin.

Başlamadan önce

Başlamadan önce üçüncü taraf SAML kimlik sağlayıcınızdan aşağıdaki bilgileri alın:

• İmza doğrulaması için sertifika (PEM veya PKCSS biçimi). Gerekirse x509 sertifikasını PEM biçimine dönüştürün

• Yapılandırma bilgileri (aşağıdaki tabloda tanımlanmıştır)

  Yapılandırma	Açıklama
  Oturum açma URL'si	Kullanıcıların SAML kimlik sağlayıcıda oturum açmak için yönlendirildiği URL.
  Oturum kapatma URL'si	Kullanıcıların SAML kimlik sağlayıcıdan çıkış yapmak üzere yönlendirildiği URL.
  IdP varlık kimliği	Bu kimlik sağlayıcı için benzersiz URL. Örneğin: https://idp.example.com/saml

Ayrıca, aşağıdaki ayarlarla üçüncü taraf SAML kimlik sağlayıcınızı yapılandırın:

• NameID özelliğinin kullanıcının e-posta adresiyle eşlendiğinden emin olun. Kullanıcının e-posta adresi, Edge geliştirici hesabının benzersiz tanımlayıcısı olarak kullanılır. Aşağıda, Okta'nın kullanıldığı bir örnek gösterilmektedir. Burada Ad Kimliği biçimi alanı, NameID özelliğini tanımlar.

  

• (İsteğe bağlı) Edge kullanıcı arayüzünde kimliği doğrulanmış oturum süresinin süresiyle eşleşmesi için, kimliği doğrulanmış oturum süresini 15 gün olarak ayarlayın.

Edge TOA Bölge Yönetimi sayfasını keşfedin

Edge TOA Bölge Yönetimi sayfasını kullanarak Edge için kimlik bölgelerini yönetin. Edge TOA Bölge Yönetimi sayfası kuruluşunuzun dışında mevcuttur. Bu sayfa, aynı kimlik alt bölgesine birden fazla kuruluş atamanıza olanak tanır.

Edge TOA Bölge Yönetimi sayfasına erişmek için:

1. zoneadmin ayrıcalıklarına sahip bir Apigee Edge kullanıcı hesabı kullanarak https://apigee.com/edge adresinde oturum açın.
   
2. Sol gezinme çubuğunda Admin > TOA (Yönetici > TOA) seçeneğini belirleyin.
   

Edge TOA Bölge Yönetimi sayfası görüntülenir (kuruluşunuzun dışında).

Şekilde vurgulandığı gibi Edge TOA Bölge Yönetimi sayfası aşağıdakileri yapmanıza olanak sağlar:

• Tüm kimlik alt bölgelerini göster
• Her alt bölgenin giriş URL'sini görüntüleyin
• Kimlik alt bölgesi ekleyin ve silin
• SAML kimlik sağlayıcısını yapılandırma
• Bir EDGE kuruluşunu kimlik alt bölgesine bağlama
• Portal kimlik alt bölgesini silme

Kimlik bölgesi ekleme

Bir kimlik bölgesi eklemek için:

1. Edge TOA Bölge Yönetimi sayfasına erişin.
2. Kimlik bölgeleri bölümünde + işaretini tıklayın.

3. Kimlik bölgesi için bir ad ve açıklama girin.
   Alt bölge adı, tüm Edge kuruluşları genelinde benzersiz olmalıdır.

   Not: Apigee, haksız olarak değerlendirilen herhangi bir alt bölge adını kaldırma hakkını saklı tutar.

4. Gerekirse alt alan adına eklenecek bir dize girin.
   Örneğin, alt bölge adı acme ise üretim alt bölgesi, acme-prod ve test alt bölgesi (acme-test) tanımlamak isteyebilirsiniz.
   Üretim alt bölgesini oluşturmak için alt alan adı soneki olarak prod girin. Bu durumda, Edge kullanıcı arayüzüne erişmek için kullanılan URL şöyle olur: acme-prod.apigee.com (Kimlik alt bölgesini kullanarak kuruluşunuza erişme bölümünde açıklandığı gibi).

   Not: Eklenen alt alan adı son eki tüm alt bölgelerinizde benzersiz olmalıdır.

5. OK (Tamam) seçeneğini tıklayın.

6. SAML kimlik sağlayıcısını yapılandırın.

SAML kimlik sağlayıcısını yapılandırma

Aşağıdaki adımları uygulayarak SAML kimlik sağlayıcısını yapılandırın:

1. SAML ayarlarını yapılandırın.
2. Yeni bir sertifika yükleyin.
   Gerekirse x509 sertifikasını PEM biçimine dönüştürün.

SAML ayarlarını yapılandırma

SAML ayarlarını yapılandırmak için:

1. Edge TOA Bölge Yönetimi sayfasına erişin.
2. SAML kimlik sağlayıcısını yapılandırmak istediğiniz kimlik bölgesi satırını tıklayın.
3. SAML Settings (SAML Ayarları) bölümünde, 'yi tıklayın.

4. Servis sağlayıcı meta veri URL'sinin yanındaki Kopyala'yı tıklayın.
   

5. Servis sağlayıcı (SP) meta veri dosyasındaki bilgileri kullanarak SAML kimlik sağlayıcınızı yapılandırın.

   Bazı SAML kimlik sağlayıcıları için yalnızca meta veri URL'si istenir. Diğerleri için meta veri dosyasından belirli bilgileri çıkarıp bir forma girmeniz gerekir.
   
   İkinci durumda, SP meta veri dosyasını indirmek ve gerekli bilgileri ayıklamak için URL'yi bir tarayıcıya yapıştırın. Örneğin, varlık kimliği veya oturum açma URL'si, SP meta veri dosyasında bulunan aşağıdaki öğelerden çıkarılabilir:

   Not: SP meta veri dosyasında oturum açma URL'si, AssertionConsumerService (ACS) URL'si olarak adlandırılır.

   • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
   • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

   Not: SAML kimlik sağlayıcınız tarafından gerekliyse kitle kısıtlamasını SP meta veri dosyasındaki (yukarıda gösterilen) entityID öğesinden kopyalayabileceğiniz zoneID.Apigee-SAML-login olarak ayarlayın.

6. SAML kimlik sağlayıcısı için SAML ayarlarını yapılandırın.

   SAML Settings (SAML Ayarları) bölümünde, SAML kimlik sağlayıcı meta veri dosyanızdan alınan aşağıdaki değerleri düzenleyin:

   SAML ayarı	Açıklama
   Oturum açma URL'si	Kullanıcıların SAML portalı kimlik sağlayıcıda oturum açmak için yönlendirildiği URL. Örneğin: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
   Oturum kapatma URL'si	Kullanıcıların SAML portalı kimlik sağlayıcıdan çıkış yapmak için yönlendirildiği URL. Not: SAML kimlik sağlayıcınız oturum kapatma URL'si sağlamıyorsa bu alanı boş bırakın. Bu durumda, oturum açma URL'si için kullanılan değere ayarlanır.
   IdP varlık kimliği	SAML kimlik sağlayıcısının benzersiz URL'si. Örneğin: http://www.okta.com/exkhgdyponHIp97po0h7 Not: SAML kimlik sağlayıcısına bağlı olarak bu alan Entity ID, SP Entity ID, Audience URI gibi farklı adlara sahip olabilir.

   Not: Apigee TOA aşağıdaki iki özelliği desteklemez:

   • Bir IDP meta veri URL'si kullanarak ve Apigee TOA Servis Sağlayıcı tarafındaki değişiklikleri güncellemek için meta verileri düzenli olarak indirerek otomatik IDP sertifikası yenilenir.
   • Otomatik IDP yapılandırması için bir IDP Meta Verileri XML dosyasının tamamını yüklemek veya bir IDP Meta Veri URL’si kullanmak.

7. Kaydet'i tıklayın.

Ardından, sonraki bölümde açıklandığı şekilde PEM veya PKCSS biçiminde bir sertifika yükleyin.

Yeni bir sertifika yükle

Yeni bir sertifika yüklemek için:

1. SAML kimlik sağlayıcınızdan imza doğrulaması sertifikasını indirin.

   Not: Sertifika, PEM veya PKCSS biçiminde olmalıdır. Gerekirse x509 sertifikasını PEM biçimine dönüştürün.

2. Edge TOA Bölge Yönetimi sayfasına erişin.

3. Yeni bir sertifika yüklemek istediğiniz kimlik bölgesi satırını tıklayın.

4. Sertifika bölümünde 'yi tıklayın.

5. Browse'ı (Göz at) tıklayıp yerel dizininizdeki sertifikaya gidin.

6. Yeni sertifikayı yüklemek için Aç'ı tıklayın.
   Sertifika bilgileri alanları, seçilen sertifikayı yansıtacak şekilde güncellenir.
   

7. Sertifikanın geçerli olduğunu ve süresinin dolmadığını doğrulayın.

8. Kaydet'i tıklayın.

x509 sertifikasını PEM biçimine dönüştürme

x509 sertifikasını indirirseniz, sertifikayı PEM biçimine dönüştürmeniz gerekir.

x509 sertifikasını PEM biçimine dönüştürmek için:

1. ds:X509Certificate element içeriğini SAML kimlik sağlayıcı meta veri dosyasından kopyalayın ve favori metin düzenleyicinize yapıştırın.
2. Dosyanın en üstüne aşağıdaki satırı ekleyin:
   -----BEGIN CERTIFICATE-----
3. Dosyanın alt kısmına aşağıdaki satırı ekleyin:
   -----END CERTIFICATE-----
4. .pem uzantısı kullanarak dosyayı kaydedin.

Aşağıda, PEM dosyası içerikleriyle ilgili bir örnek verilmiştir:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Bir ED kuruluşunu bir kimlik alt bölgesine bağlama

Bir Edge kuruluşunu bir kimlik alt bölgesine bağlamak için:

1. Edge TOA Bölge Yönetimi sayfasına erişin.
2. Kuruluş eşleme bölümünde, bir alt bölgeye atamak istediğiniz kuruluşla ilişkili Kimlik bölgesi açılır menüsünden bir kimlik bölgesi seçin.
   Kuruluş için temel kimlik doğrulamasını etkinleştirmek üzere Yok (Apigee varsayılanı) seçeneğini belirleyin.
3. Değişikliği onaylamak için Onayla'yı tıklayın.

Kimlik alt bölgesini kullanarak kuruluşunuza erişin

Edge kullanıcı arayüzüne erişmek için kullandığınız URL, kimlik bölgenizin adıyla tanımlanır:

https://zonename.apigee.com

Benzer şekilde, Klasik Edge kullanıcı arayüzüne erişmek için kullandığınız URL aşağıdaki gibidir:

https://zonename.enterprise.apigee.com

Örneğin, Acme Inc. SAML kullanmak istiyor ve alt bölge adı olarak "acme"yi seçiyor. Acme Inc. müşterileri, Edge kullanıcı arayüzüne aşağıdaki URL ile erişir:

https://acme.apigee.com

Alt bölge, SAML'yi destekleyen Edge kuruluşlarını tanımlar. Örneğin, Acme Inc. ın üç kuruluşu vardır: OrgA, OrgB ve OrgC. Acme, SAML alt bölgesine tüm kuruluşları veya yalnızca bir alt kümeyi eklemeye karar verebilir. Diğer kuruluşlar, Temel Kimlik Doğrulama kimlik bilgilerinden oluşturulan Temel Kimlik Doğrulama veya OAuth2 jetonlarını kullanmaya devam eder.

Birden fazla kimlik alt bölgesi tanımlayabilirsiniz. Böylece tüm alt bölgeler aynı kimlik sağlayıcısını kullanacak şekilde yapılandırılabilir.

Örneğin Acme, OrgAProd ve OrgBProd'u içeren "acme-prod" ve OrgATest, OrgBTest, OrgADev ve OrgBDev içeren "acme-test" test alt bölgesini tanımlamak isteyebilir.

Ardından farklı alt bölgelere erişmek için aşağıdaki URL'leri kullanırsınız:

https://acme-prod.apigee.com
https://acme-test.apigee.com

Edge kullanıcılarını SAML kimlik doğrulamasıyla kaydetme

Bir kuruluş için SAML'yi etkinleştirdikten sonra, kuruluşunuza önceden kayıtlı olmayan SAML kullanıcılarını kaydetmeniz gerekir. Daha fazla bilgi edinmek için Kuruluş kullanıcılarını yönetme başlıklı makaleye göz atın.

Komut dosyalarını OAuth2 erişim jetonlarını iletecek şekilde güncelleme

SAML'yi etkinleştirdikten sonra, Edge API'sı için Temel Kimlik Doğrulama devre dışı bırakılır. Basic Auth'u destekleyen Edge API çağrılarını kullanan tüm komut dosyaları (Maven komut dosyaları, kabuk komut dosyaları, apigeetool vb.) artık çalışmayacaktır. Taşıyıcı başlığındaki OAuth2 erişim jetonlarını geçirmek için Basic Auth kullanan API çağrılarını ve komut dosyalarını güncellemeniz gerekir. Edge API ile SAML kullanma başlıklı makaleyi inceleyin.

Kimlik bölgesi silme

Bir kimlik bölgesini silmek için:

1. Edge TOA Bölge Yönetimi sayfasına erişin.
2. İşlemler menüsünü görüntülemek için imlecinizi, silmek istediğiniz kimlik bölgesiyle ilişkili satırın üzerine getirin.
3. simgesini tıklayın.
4. Silme işlemini onaylamak için Sil'i tıklayın.

Edge TOA Bölge Yönetimi sayfasından çıkış yapın

Edge kimlik alt bölgelerini kuruluşunuzun dışında yönettiğinizden, Apigee Edge'in diğer özelliklerine erişebilmek için Edge TOA Zone Yönetimi sayfasından çıkış yapmanız ve ardından kuruluşunuzda oturum açmanız gerekir.