Bật SAML (Beta)

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Phần này mô tả cách bật SAML cho Apigee Edge để bạn có thể uỷ quyền xác thực cho các thành viên trong tổ chức của mình qua dịch vụ xác thực danh tính của riêng bạn. Để biết tổng quan về SAML và việc quản lý vùng nhận dạng trong Edge, hãy xem bài viết Tổng quan về SAML.

Video: Xem một video ngắn để tìm hiểu cách truy cập vào API Apigee Edge trước và sau khi bật tính năng đăng nhập một lần (SSO) bằng SAML.

Giới thiệu về vai trò quản trị viên vùng

Bạn phải là quản trị viên vùng để quản lý vùng nhận dạng trong Edge. Vai trò quản trị viên vùng chỉ cung cấp các quy trình CRUD đầy đủ để quản lý vùng nhận dạng.

Để được chỉ định vai trò quản trị viên vùng cho tài khoản Apigee Edge của bạn, hãy liên hệ với Bộ phận hỗ trợ Apigee.

Trước khi bắt đầu

Trước khi bắt đầu, hãy lấy các thông tin sau từ nhà cung cấp danh tính SAML bên thứ ba của bạn:

  • Chứng chỉ để xác minh chữ ký (định dạng PEM hoặc PKCSS). Nếu cần, hãy chuyển đổi chứng chỉ x509 sang định dạng PEM

  • Thông tin cấu hình (được xác định trong bảng sau)

    Cấu hình Nội dung mô tả
    URL đăng nhập URL mà người dùng được chuyển hướng tới để đăng nhập vào nhà cung cấp danh tính SAML.
    URL đăng xuất URL mà người dùng được chuyển hướng đến để đăng xuất khỏi nhà cung cấp danh tính SAML.
    Mã nhận dạng thực thể IDP URL duy nhất cho nhà cung cấp danh tính này. Ví dụ: https://idp.example.com/saml

Ngoài ra, hãy định cấu hình nhà cung cấp danh tính SAML bên thứ ba bằng các chế độ cài đặt sau:

  • Đảm bảo thuộc tính NameID được liên kết với địa chỉ email của người dùng. Địa chỉ email của người dùng đóng vai trò là giá trị nhận dạng duy nhất của tài khoản nhà phát triển Edge. Sau đây là ví dụ về cách sử dụng Okta, trong đó trường Định dạng mã tên (Name ID format) định nghĩa thuộc tính NameID.

  • (Không bắt buộc) Đặt thời lượng phiên được xác thực thành 15 ngày để khớp với thời lượng của phiên được xác thực trên Giao diện người dùng Edge.

Khám phá trang Quản trị vùng SSO của Edge

Quản lý vùng nhận dạng cho Edge bằng trang Quản trị vùng SSO của Edge. Trang quản trị vùng SSO của Edge tồn tại bên ngoài tổ chức của bạn, cho phép bạn chỉ định nhiều tổ chức vào cùng một vùng nhận dạng.

Cách truy cập vào trang Quản trị vùng SSO của Edge:

  1. Đăng nhập vào https://apigee.com/edge bằng tài khoản người dùngApigee Edgeđặc quyền của quản trị viên vùng.
  2. Chọn Quản trị > Đăng nhập một lần (SSO) trong thanh điều hướng bên trái.

Trang Quản trị vùng SSO của Edge sẽ hiển thị (bên ngoài tổ chức của bạn).

Như được đánh dấu trong hình, trang Quản trị vùng SSO của Edge cho phép bạn:

Thêm vùng nhận dạng

Cách thêm vùng nhận dạng:

  1. Truy cập vào trang Quản trị vùng SSO của Edge.
  2. Trong mục Khu vực nhận dạng, hãy nhấp vào biểu tượng dấu +.

  3. Nhập tên và nội dung mô tả cho vùng nhận dạng.
    Tên vùng phải là duy nhất của tất cả các tổ chức Edge.

    Lưu ý: Apigee giữ quyền xoá mọi tên vùng mà chúng tôi cho là không chính đáng.

  4. Nhập một chuỗi để thêm vào miền con, nếu cần.
    Ví dụ: nếu acme là tên vùng, bạn nên xác định vùng sản xuất, acme-prod và vùng thử nghiệm, acme-test.
    Để tạo vùng sản xuất, hãy nhập sản phẩm làm hậu tố của miền con. Trong trường hợp này, URL dùng để truy cập vào giao diện người dùng của Edge sẽ là: acme-prod.apigee.com, như mô tả trong phần Truy cập vào tổ chức của bạn bằng vùng nhận dạng.

    Lưu ý: Hậu tố của miền con được thêm vào phải là duy nhất trên tất cả các vùng của bạn.

  5. Nhấp vào OK.

  6. Định cấu hình nhà cung cấp danh tính SAML.

Định cấu hình nhà cung cấp danh tính SAML

Định cấu hình nhà cung cấp danh tính SAML bằng cách thực hiện các bước sau:

  1. Định cấu hình chế độ cài đặt SAML.
  2. Tải chứng chỉ mới lên.
    Nếu cần, hãy chuyển đổi chứng chỉ x509 sang định dạng PEM.

Định cấu hình chế độ cài đặt SAML

Cách định cấu hình chế độ cài đặt SAML:

  1. Truy cập vào trang Quản trị vùng SSO của Edge.
  2. Nhấp vào hàng của khu vực nhận dạng mà bạn muốn định cấu hình nhà cung cấp danh tính SAML.
  3. Trong phần Cài đặt SAML, hãy nhấp vào .

  4. Nhấp vào Sao chép bên cạnh URL siêu dữ liệu SP.

  5. Định cấu hình nhà cung cấp danh tính SAML bằng cách sử dụng thông tin trong tệp siêu dữ liệu của nhà cung cấp dịch vụ (SP).

    Đối với một số nhà cung cấp danh tính SAML, bạn sẽ chỉ được nhắc cung cấp URL siêu dữ liệu. Đối với những trường hợp khác, bạn sẽ cần phải trích xuất thông tin cụ thể từ tệp siêu dữ liệu rồi nhập thông tin đó vào một biểu mẫu.

    Trong trường hợp thứ hai, hãy dán URL vào một trình duyệt để tải tệp siêu dữ liệu SP xuống và trích xuất thông tin cần thiết. Ví dụ: bạn có thể trích xuất mã nhận dạng thực thể hoặc URL đăng nhập từ các phần tử sau trong tệp siêu dữ liệu SP:

    Lưu ý: Trong tệp siêu dữ liệu SP, URL đăng nhập được gọi là AssertionConsumerService (ACS).

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

    Lưu ý: Nếu nhà cung cấp danh tính SAML yêu cầu, hãy đặt giới hạn về đối tượng thành zoneID.apigee-saml-login. Bạn có thể sao chép thông tin này từ phần tử entityID trong tệp siêu dữ liệu SP (như trình bày ở trên).

  6. Định cấu hình chế độ cài đặt SAML cho nhà cung cấp danh tính SAML.

    Trong phần Cài đặt SAML, hãy chỉnh sửa các giá trị sau có được từ tệp siêu dữ liệu của nhà cung cấp danh tính SAML:

    Chế độ cài đặt SAMLNội dung mô tả
    URL đăng nhậpURL mà người dùng được chuyển hướng đến để đăng nhập vào nhà cung cấp danh tính của cổng SAML.
    Ví dụ: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL đăng xuấtURL mà người dùng được chuyển hướng đến để đăng xuất khỏi nhà cung cấp danh tính cổng SAML.
    Lưu ý: Nếu nhà cung cấp danh tính SAML của bạn không cung cấp URL đăng xuất, hãy để trống trường này. Trong trường hợp này, giá trị này sẽ được đặt thành cùng một giá trị dùng cho URL đăng nhập.
    Mã nhận dạng thực thể IDPURL duy nhất cho nhà cung cấp danh tính SAML.
    Ví dụ: http://www.okta.com/exkhgdyponHIp97po0h7

    Lưu ý: Tuỳ thuộc vào nhà cung cấp danh tính SAML, trường này có thể được đặt tên khác, chẳng hạn như Entity ID, SP Entity ID, Audience URI, v.v.

    Lưu ý: Tính năng SSO của Apigee không hỗ trợ 2 tính năng sau:

    • Tự động làm mới chứng chỉ IDP bằng cách sử dụng một URL siêu dữ liệu của IDP và tải siêu dữ liệu xuống định kỳ để cập nhật các thay đổi về phía Nhà cung cấp dịch vụ SSO của Apigee.
    • Tải toàn bộ tệp xml siêu dữ liệu IDP lên hoặc sử dụng một URL siêu dữ liệu IDP để định cấu hình IDP tự động.

  7. Nhấp vào Lưu.

Tiếp theo, hãy tải chứng chỉ lên ở định dạng PEM hoặc PKCSS, như mô tả trong phần tiếp theo.

Tải chứng chỉ mới lên

Để tải chứng chỉ mới lên, hãy làm như sau:

  1. Tải chứng chỉ xuống từ nhà cung cấp danh tính SAML để xác minh chữ ký.

    Lưu ý: Chứng chỉ phải ở định dạng PEM hoặc PKCSS. Nếu cần, hãy chuyển đổi chứng chỉ x509 sang định dạng PEM.

  2. Truy cập vào trang Quản trị vùng SSO của Edge.

  3. Nhấp vào hàng của vùng nhận dạng mà bạn muốn tải chứng chỉ mới lên.

  4. Trong mục Chứng chỉ, nhấp vào .

  5. Nhấp vào Duyệt qua và chuyển đến chứng chỉ trong thư mục cục bộ của bạn.

  6. Nhấp vào Mở để tải chứng chỉ mới lên.
    Các trường Thông tin chứng chỉ được cập nhật để phản ánh chứng chỉ đã chọn.

  7. Xác minh rằng chứng chỉ hợp lệ và chưa hết hạn.

  8. Nhấp vào Lưu.

Chuyển đổi chứng chỉ x509 sang định dạng PEM

Nếu tải chứng chỉ x509 xuống thì bạn cần chuyển đổi chứng chỉ sang định dạng PEM.

Cách chuyển đổi chứng chỉ x509 sang định dạng PEM:

  1. Sao chép nội dung của ds:X509Certificate element trong tệp siêu dữ liệu của nhà cung cấp danh tính SAML rồi dán vào trình chỉnh sửa văn bản bạn yêu thích.
  2. Thêm dòng sau vào đầu tệp:
    -----BEGIN CERTIFICATE-----
  3. Thêm dòng sau vào cuối tệp:
    -----END CERTIFICATE-----
  4. Lưu tệp bằng đuôi .pem.

Sau đây là ví dụ về nội dung tệp PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Kết nối một tổ chức Edge với một vùng nhận dạng

Cách kết nối một tổ chức Edge với một vùng nhận dạng:

  1. Truy cập vào trang Quản trị vùng SSO của Edge.
  2. Trong phần Liên kết tổ chức, hãy chọn một vùng nhận dạng trong trình đơn thả xuống Khu vực nhận dạng liên kết với tổ chức mà bạn muốn chỉ định cho một vùng.
    Chọn Không có (Mặc định API) để bật tính năng xác thực cơ bản cho tổ chức.
  3. Nhấp vào Xác nhận để xác nhận thay đổi.

Truy cập vào tổ chức của bạn bằng vùng nhận dạng

URL mà bạn sử dụng để truy cập vào Giao diện người dùng Edge được xác định theo tên vùng nhận dạng của bạn:

https://zonename.apigee.com

Tương tự, URL mà bạn dùng để truy cập vào giao diện người dùng của phiên bản Classic Edge như sau:

https://zonename.enterprise.apigee.com

Ví dụ: Acme Inc. muốn sử dụng SAML và chọn "acme" làm tên vùng. Sau đó, Acme Khách hàng truy cập vào giao diện người dùng Edge bằng URL sau:

https://acme.apigee.com

Vùng này giúp xác định các tổ chức Edge có hỗ trợ SAML. Ví dụ: Acme Inc. có 3 tổ chức: OrgA, OrgB và OrgC. Acme có thể quyết định thêm tất cả các tổ chức vào vùng SAML hoặc chỉ thêm một tập hợp con. Các tổ chức còn lại tiếp tục sử dụng mã thông báo Xác thực cơ bản hoặc mã thông báo OAuth2 được tạo từ thông tin xác thực cơ bản.

Bạn có thể xác định nhiều vùng nhận dạng. Sau đó, tất cả các vùng có thể được định cấu hình để sử dụng cùng một nhà cung cấp danh tính.

Ví dụ: Acme có thể muốn xác định vùng sản xuất "acme-prod" chứa OrgAProd và OrgBProd và một vùng kiểm thử là "acme-test" chứa OrgATest, OrgBTest, OrgADev và OrgBDev.

Sau đó, bạn dùng các URL sau để truy cập vào các khu vực khác nhau:

https://acme-prod.apigee.com
https://acme-test.apigee.com

Đăng ký người dùng Edge bằng phương thức xác thực SAML

Sau khi bật SAML cho một tổ chức, bạn cần đăng ký những người dùng SAML chưa đăng ký với tổ chức của bạn. Để biết thêm thông tin, hãy xem bài viết Quản lý người dùng của tổ chức.

Cập nhật các tập lệnh để chuyển mã truy cập OAuth2

Sau khi bạn bật SAML, tính năng Xác thực cơ bản sẽ bị tắt cho API Edge. Tất cả tập lệnh (tập lệnh Maven, tập lệnh shell, apigeetool, v.v.) dựa vào lệnh gọi API Edge hỗ trợ tính năng Xác thực cơ bản sẽ không còn hoạt động nữa. Bạn phải cập nhật các lệnh gọi API và tập lệnh sử dụng phương thức Xác thực cơ bản để chuyển mã truy cập OAuth2 trong tiêu đề Mang truy cập. Hãy xem phần Sử dụng SAML với API Edge.

Xoá vùng nhận dạng

Cách xoá vùng nhận dạng:

  1. Truy cập vào trang Quản trị vùng SSO của Edge.
  2. Đặt con trỏ lên hàng được liên kết với vùng nhận dạng mà bạn muốn xóa để hiển thị trình đơn thao tác.
  3. Nhấp vào .
  4. Nhấp vào Xoá để xác nhận thao tác xoá.

Đăng xuất khỏi trang Quản trị vùng SSO của Edge

Vì bạn quản lý các vùng nhận dạng Edge bên ngoài tổ chức của mình, nên bạn cần phải đăng xuất khỏi trang Quản trị vùng SSO của Edge, sau đó đăng nhập vào tổ chức của mình để có thể truy cập vào các tính năng khác của Apigee Edge.