Edge for Private Cloud Version 4.17.09
Wenn SAML aktiviert ist, fordert das Hauptkonto (ein Edge-UI-Nutzer) Zugriff beim Dienstanbieter an (Edge SSO). Edge-SSO fordert dann eine Identitätsbestätigung vom SAML-Identitätsanbieter (Identity Provider, IdP) an, ruft diese ab und verwendet diese Assertion, um das für den Zugriff auf die Edge-Benutzeroberfläche erforderliche OAuth2-Token zu erstellen. Der Nutzer wird dann zur Edge-Benutzeroberfläche weitergeleitet.
Edge unterstützt viele IdPs, einschließlich Okta und den Microsoft Active Directory Federation Services (ADFS). Informationen zum Konfigurieren von ADFS für die Verwendung mit Edge finden Sie unter Edge als vertrauende Partei in ADFS IDP konfigurieren. Informationen zu Okta finden Sie im folgenden Abschnitt.
Zum Konfigurieren Ihres SAML-IdP benötigt Edge eine E-Mail-Adresse zur Identifizierung des Nutzers. Daher muss der Identitätsanbieter im Rahmen der Identitätsbestätigung eine E-Mail-Adresse zurückgeben.
Darüber hinaus benötigen Sie möglicherweise einige oder alle der folgenden Komponenten:
Einstellung | Beschreibung |
---|---|
Metadaten-URL |
Der SAML-IdP benötigt möglicherweise die Metadaten-URL der Edge-SSO. Die Metadaten-URL hat das folgende Format: protocol://apigee_sso_IP_DNS:port/saml/metadata Beispiel: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
Assertion Consumer Service-URL |
Kann als Weiterleitungs-URL zurück zu Edge verwendet werden, nachdem der Nutzer seine IdP-Anmeldedaten im folgenden Format eingegeben hat: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Beispiel: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
Einzelne Abmelde-URL |
Sie können Edge-SSO so konfigurieren, dass die Einzelabmeldung unterstützt wird. Weitere Informationen finden Sie unter Einmalanmeldung (SSO) über die Edge-Benutzeroberfläche konfigurieren. Die einzelne Abmelde-URL für die Edge-SSO hat das folgende Format: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Beispiel: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
Die Entitäts-ID des Dienstanbieters (oder der Zielgruppen-URI) |
Für Edge-SSO: apigee-saml-login-opdk |
Okta konfigurieren
So konfigurieren Sie Okta:
- Melden Sie sich bei Okta an.
- Wählen Sie Applications (Anwendungen) und dann Ihre SAML-Anwendung aus.
- Wählen Sie den Tab Zuweisungen aus, um der Anwendung Nutzer hinzuzufügen. Diese Benutzer können sich bei der Edge-Benutzeroberfläche anmelden und Edge-API-Aufrufe ausführen. Sie müssen jedoch zuerst jeden Nutzer einer Edge-Organisation hinzufügen und die Rolle des Nutzers angeben. Weitere Informationen finden Sie unter Neue Edge-Nutzer registrieren.
- Wählen Sie den Tab Sign on (Anmelden) aus, um die Metadaten-URL des Identitätsanbieters abzurufen. Speichern Sie diese URL, da Sie sie zum Konfigurieren von Edge benötigen.
- Wählen Sie zum Konfigurieren der Okta-Anwendung den Tab General (Allgemein) aus, wie in der folgenden Tabelle dargestellt:
Einstellung | Beschreibung |
---|---|
URL für die Einmalanmeldung (SSO) |
Gibt die Weiterleitungs-URL zurück an Edge für die Verwendung, nachdem der Nutzer seine Okta-Anmeldedaten eingegeben hat. Diese URL hat das folgende Format:
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk oder wenn Sie TLS in apigee-sso aktivieren möchten: https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk, wobei apigee_sso_IP_DNS die IP-Adresse oder der DNS-Name des Knotens ist, auf dem apigee-sso gehostet wird. Bei dieser URL wird zwischen Groß- und Kleinschreibung unterschieden und SSO muss in Großbuchstaben angegeben werden. Wenn Sie apigee-sso einen Load-Balancer vorhaben, geben Sie die IP-Adresse oder den DNS-Namen von apigee-sso so an, wie durch den Load-Balancer verwiesen. |
Verwenden Sie dieses Attribut für Empfänger-URL und Ziel-URL | Klicken Sie dieses Kästchen an. |
Zielgruppen-URI (Entitäts-ID des Dienstanbieters) | Auf apigee-saml-login-opdk festgelegt |
Standard-RelayState | Kann leer lassen. |
Name-ID-Format | Geben Sie EmailAddress an. |
Nutzername für die Anwendung | Geben Sie den Okta-Nutzernamen an. |
Attributanweisungen (optional) | Geben Sie FirstName, LastName und Email wie in der Abbildung unten gezeigt an. |
Wenn Sie fertig sind, sollte das Dialogfeld für die SAML-Einstellungen wie unten dargestellt aussehen: