Edge for Private Cloud バージョン 4.17.09
SAML が有効になっている場合、プリンシパル(Edge UI ユーザー)はサービス プロバイダ(Edge SSO)へのアクセスをリクエストします。Edge SSO は SAML ID プロバイダ(IDP)に ID アサーションをリクエストして取得し、そのアサーションを使用して Edge UI へのアクセスに必要な OAuth2 トークンを作成します。その後、ユーザーは Edge UI にリダイレクトされます。
Edge は、Okta や Microsoft Active Directory フェデレーション サービス(ADFS)など、多くの IDP をサポートしています。Edge で使用するように ADFS を構成する方法については、ADFS IDP の証明書利用者としての Edge の構成をご覧ください。Okta については、次のセクションをご覧ください。
SAML IDP を構成するには、ユーザーを識別するためのメールアドレスが Edge に必要です。したがって、ID プロバイダは ID アサーションの一部としてメールアドレスを返す必要があります。
さらに、以下の一部またはすべてが必要になる場合があります。
設定 | 説明 |
---|---|
メタデータ URL |
SAML IDP では、Edge SSO のメタデータ URL が必要になる場合があります。メタデータ URL の形式は次のとおりです。 protocol://apigee_sso_IP_DNS:port/saml/metadata 例: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
Assertion Consumer Service の URL |
ユーザーが次の形式の IDP 認証情報を入力した後、Edge へのリダイレクト URL として使用できます。 protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk 例: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
シングル ログアウト URL |
シングル ログアウトをサポートするように Edge SSO を構成できます。詳細については、Edge UI からのシングル ログアウトを構成するをご覧ください。Edge SSO のシングル ログアウト URL の形式は次のとおりです。 protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk 例: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
SP エンティティ ID(またはオーディエンス URI) |
Edge SSO の場合: apigee-saml-login-opdk |
Okta の構成
Okta を構成するには:
- Okta にログインします。
- [Applications] を選択し、SAML アプリケーションを選択します。
- [Assignments] タブを選択し、アプリケーションにユーザーを追加します。これらのユーザーは、Edge UI にログインして Edge API を呼び出すことができます。ただし、最初に各ユーザーを Edge 組織に追加し、ユーザーのロールを指定する必要があります。詳細については、新しい Edge ユーザーを登録するをご覧ください。
- [Sign on] タブを選択して、ID プロバイダのメタデータ URL を取得します。この URL は Edge の構成時に必要になるため、保存します。
- [General] タブを選択し、次の表に示すように Okta アプリケーションを構成します。
設定 | Description |
---|---|
シングル サインオン URL |
ユーザーが Okta 認証情報を入力した後に使用する、Edge へのリダイレクト URL を指定します。この URL の形式は次のとおりです。 http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk、または apigee-sso で TLS を有効にする予定がある場合: https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk。apigee_sso_IP_DNS は、apigee-sso をホストするノードの IP アドレスまたは DNS 名です。この URL では大文字と小文字が区別されます。SSO は大文字で表記する必要があります。 apigee-sso の前にロードバランサがある場合は、ロードバランサを介して参照される apigee-sso の IP アドレスまたは DNS 名を指定します。 |
受信者 URL とリンク先 URL に使用 | このチェックボックスをオンにします。 |
オーディエンス URI(SP Entity ID) | apigee-saml-login-opdk に設定します。 |
デフォルトの RelayState | 空欄でもかまいません。 |
名前 ID の形式 | EmailAddress を指定します。 |
アプリケーションのユーザー名 | Okta ユーザー名を指定します。 |
属性ステートメント(省略可) | 次の画像に示すように、FirstName、LastName、Email を指定します。 |
完了すると、SAML 設定ダイアログ ボックスが次のように表示されます。