Edge pour Private Cloud version 4.17.09
Lorsque SAML est activé, le compte principal (un utilisateur de l'interface utilisateur Edge) demande l'accès au fournisseur de services (authentification unique Edge). Edge SSO demande ensuite et obtient une assertion d'identité de la part du fournisseur d'identité SAML (IDP) et utilise cette assertion pour créer le jeton OAuth2 requis pour accéder à l'interface utilisateur Edge. L'utilisateur est ensuite redirigé vers l'interface utilisateur Edge.
Edge est compatible avec de nombreux IdP, y compris Okta et les services de fédération Microsoft Active Directory (ADFS). Pour plus d'informations sur la configuration d'ADFS pour une utilisation avec Edge, consultez la page Configurer Edge en tant que partie de confiance dans ADFS IDP. Pour Okta, consultez la section suivante.
Pour configurer votre IdP SAML, Edge a besoin d'une adresse e-mail pour identifier l'utilisateur. Par conséquent, le fournisseur d'identité doit renvoyer une adresse e-mail dans l'assertion d'identité.
En outre, vous aurez peut-être besoin de tout ou partie des éléments suivants:
Paramètre | Description |
---|---|
URL des métadonnées |
L'IdP SAML peut nécessiter l'URL de métadonnées de Edge SSO. L'URL des métadonnées se présente sous la forme suivante: protocol://apigee_sso_IP_DNS:port/saml/metadata Exemple : http://apigee_sso_IP_or_DNS:9099/saml/metadata |
Assertion Consumer Service URL (URL du service ACS) |
Peut être utilisée comme URL de redirection vers Edge après que l'utilisateur a saisi ses identifiants de fournisseur d'identité, sous la forme: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Exemple : http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
URL de déconnexion unique |
Vous pouvez configurer l'authentification unique Edge pour qu'elle prenne en charge la déconnexion unique. Pour plus d'informations, consultez la section Configurer la déconnexion unique à partir de l'interface utilisateur Edge. L'URL de déconnexion unique de l'authentification unique Edge se présente sous la forme suivante: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Exemple : http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
ID d'entité du fournisseur de services (ou URI d'audience) |
Pour l'authentification unique Edge: apigee-saml-login-opdk |
Configurer Okta
Pour configurer Okta:
- Connectez-vous à Okta.
- Sélectionnez Applications, puis votre application SAML.
- Sélectionnez l'onglet Assignments (Attributions) pour ajouter des utilisateurs à l'application. Ces utilisateurs pourront se connecter à l'interface utilisateur Edge et effectuer des appels d'API Edge. Cependant, vous devez d'abord ajouter chaque utilisateur à une organisation Edge et spécifier le rôle de l'utilisateur. Pour en savoir plus, consultez la section Enregistrer de nouveaux utilisateurs Edge.
- Sélectionnez l'onglet Sign on (Connexion) pour obtenir l'URL des métadonnées du fournisseur d'identité. Stockez cette URL, car vous en aurez besoin pour configurer Edge.
- Sélectionnez l'onglet General (Général) pour configurer l'application Okta, comme indiqué dans le tableau ci-dessous:
Paramètre | Description |
---|---|
URL d'authentification unique |
Spécifie l'URL de redirection vers Edge à utiliser après la saisie de ses informations d'identification Okta. Cette URL se présente sous la forme suivante:
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk ou si vous prévoyez d'activer TLS sur apigee-sso: https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk où apigee_sso_IP_DNS correspond à l'adresse IP ou au nom DNS du nœud hébergeant apigee-sso. Notez que cette URL est sensible à la casse et que l'authentification unique doit apparaître en majuscules. Si vous disposez d'un équilibreur de charge devant apigee-sso,spécifiez l'adresse IP ou le nom DNS de apigee-sso comme référencé via cet équilibreur de charge. |
Utilisez ce champ pour l'URL du destinataire et l'URL de destination | Cochez cette case. |
URI d'audience (ID d'entité du fournisseur de services) | Défini sur apigee-saml-login-opdk |
Default RelayState | Ce champ peut être laissé vide. |
Format de l'ID du nom | Spécifiez EmailAddress. |
Nom d'utilisateur de l'application | Indiquez le nom d'utilisateur Okta. |
Instructions d'attribut (facultatif) | Spécifiez FirstName, LastName et Email comme illustré dans l'image ci-dessous. |
Une fois que vous avez terminé, la boîte de dialogue des paramètres SAML doit s'afficher comme suit: