Edge for Private Cloud v4.18.01
启用 SAML 后,主帐号(Edge 界面用户)会请求对服务提供商的访问权限 (Edge SSO)。然后,Edge SSO 从 SAML 身份提供方 (IDP) 请求并获取身份断言,并使用该断言创建访问 Edge 界面所需的 OAuth2 令牌。然后,用户会被重定向到 Edge 界面。
Edge 支持许多 IDP,包括 Okta 和 Microsoft Active Directory Federation Services (ADFS)。如需了解如何配置 ADFS 以便与 Edge 搭配使用,请参阅在 ADFS IDP 中将 Edge 配置为依赖方。对于 Okta,请参阅下一部分。
为了配置 SAML IDP,Edge 需要电子邮件地址来识别用户身份。因此,身份提供方必须在身份断言中返回电子邮件地址。
此外,您可能需要满足以下部分或全部要求:
设置 | 说明 |
---|---|
元数据网址 |
SAML IDP 可能需要 Edge SSO 的元数据网址。元数据网址的格式如下: protocol://apigee_sso_IP_DNS:port/saml/metadata 例如: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
断言消费者服务网址 |
可用作用户输入 IDP 凭据后返回到 Edge 的重定向网址,格式如下: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk 例如: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
单次退出网址 |
您可以配置 Edge SSO 以支持单点登录。如需了解详情,请参阅从 Edge 界面配置单点登录。Edge SSO 单点登录网址采用以下格式: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk 例如: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
服务提供商实体 ID(或受众群体 URI) |
对于 Edge SSO: apigee-saml-login-opdk |
配置 Okta
如需配置 Okta,请执行以下操作:
- 登录 Okta。
- 选择应用,然后选择您的 SAML 应用。
- 选择分配标签页,向应用添加任何用户。这些用户将能够登录 Edge 界面并进行 Edge API 调用。但是,您必须先将每个用户添加到 Edge 组织,并指定用户的角色。请参阅注册新的 Edge 用户,了解详情。
- 选择 Sign on(登录)标签页以获取身份提供方元数据网址。请存储该网址,因为您需要用它来配置 Edge。
- 选择常规标签页以配置 Okta 应用,如下表所示:
设置 | 说明 |
---|---|
单点登录网址 |
将重定向网址指定回 Edge,以便在用户输入其 Okta 凭据后使用。网址格式如下:
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk,或者计划在 apigee-sso 上启用 TLS: https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk,其中 apigee_sso_IP_DNS 是托管 apigee-sso 的节点的 IP 地址或 DNS 名称。请注意,此网址区分大小写,并且 SSO 必须以大写字母显示。 如果 apigee-sso 有一个负载平衡器,那么请指定 apigee-sso 的 IP 地址或 DNS 名称,以通过负载平衡器引用。 |
用于“收件人网址”和“目标网址” | 设置此复选框。 |
受众群体 URI(SP 实体 ID) | 设置为 apigee-saml-login-opdk |
默认中继状态 | 可以留空。 |
名称 ID 格式 | 指定 EmailAddress。 |
应用用户名 | 指定 Okta 用户名。 |
属性语句(可选) | 指定 FirstName、LastName 和 Email,如下图所示。 |
完成后,SAML 设置对话框应如下所示: