Konfigurowanie dostawcy tożsamości SAML

Edge for Private Cloud w wersji 4.18.01

Gdy SAML jest włączona, podmiot zabezpieczeń (użytkownik interfejsu Edge) prosi o dostęp do dostawcy usług (logowania jednokrotnego brzegowego). Logowanie jednokrotne w przeglądarce Edge wysyła żądanie potwierdzenia tożsamości od dostawcy tożsamości SAML (IDP) i uzyskuje je do utworzenia tokena OAuth2 wymaganego do uzyskania dostępu do interfejsu Edge. Następnie użytkownik zostaje przekierowany do interfejsu Edge.

Edge obsługuje wiele dostawców tożsamości, w tym Okta i Microsoft Active Directory Federation Services (ADFS). Informacje o konfigurowaniu ADFS do użytku z Edge znajdziesz w artykule o konfigurowaniu Edge jako strony uzależnionej w dostawcy tożsamości ADFS. Okta znajdziesz poniżej.

Aby skonfigurować dostawcę tożsamości SAML, Edge wymaga adresu e-mail do zidentyfikowania użytkownika. Dlatego w ramach potwierdzenia tożsamości dostawca tożsamości musi zwracać adres e-mail.

Mogą też być wymagane niektóre lub wszystkie z tych elementów:

lokalizacji, Opis
URL metadanych

Dostawca tożsamości SAML może wymagać adresu URL metadanych logowania jednokrotnego w przeglądarce Edge. Adres URL metadanych ma postać:

protocol://apigee_sso_IP_DNS:port/saml/metadata

Na przykład:

http://apigee_sso_IP_or_DNS:9099/saml/metadata

Assertion Consumer Service URL (URL usługi konsumenta potwierdzenia)

Może być używany jako adres URL przekierowania z powrotem do Edge po wpisaniu przez użytkownika danych logowania dostawcy tożsamości w formacie:

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

Na przykład:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

URL wylogowania pojedynczego

Możesz skonfigurować logowanie jednokrotne na serwerach brzegowych pod kątem obsługi pojedynczego wylogowania. Więcej informacji znajdziesz w artykule Konfigurowanie logowania jednokrotnego w interfejsie użytkownika Edge. Adres URL wylogowania jednokrotnego logowania przy użyciu przeglądarki Edge ma postać:

protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

Na przykład:

http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

Identyfikator jednostki dostawcy usług (lub identyfikator URI odbiorców)

W przypadku brzegowego logowania jednokrotnego:

apigee-saml-login-opdk

Konfigurowanie Okta

Aby skonfigurować Okta:

  1. Zaloguj się w Okta.
  2. Wybierz Aplikacje i wybierz aplikację SAML.
  3. Wybierz kartę Przypisania, aby dodać użytkowników do aplikacji. Ten użytkownik będzie mógł logować się w interfejsie użytkownika Edge i wykonywać wywołania interfejsu Edge API. Musisz jednak najpierw dodać każdego użytkownika do organizacji Edge i określić jego rolę. Więcej informacji znajdziesz w artykule Rejestrowanie nowych użytkowników Edge.
  4. Wybierz kartę Sign on (Logowanie), aby uzyskać adres URL metadanych dostawcy tożsamości. Zapisz ten adres URL, ponieważ jest on potrzebny do skonfigurowania Edge.
  5. Wybierz kartę Ogólne, aby skonfigurować aplikację Okta, jak pokazano w tej tabeli:
Ustawienie Opis
URL logowania jednokrotnego Określa adres URL przekierowania z powrotem do Edge, który będzie używany po wpisaniu przez użytkownika danych logowania Okta. Adres URL ma postać:

http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk lub jeśli zamierzasz włączyć protokół TLS w domenie apigee-sso:

https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk, gdzie apigee_sso_IP_DNS to adres IP lub nazwa DNS węzła hostującego apigee-sso. Pamiętaj, że w tym adresie URL rozróżniana jest wielkość liter, a nazwa SSO musi być pisana wielkimi literami.

Jeśli przed apigee-sso masz system równoważenia obciążenia, podaj adres IP lub nazwę DNS apigee-sso, do których odwołuje się system równoważenia obciążenia.

Użyj tej opcji w przypadku adresu URL odbiorcy i docelowego adresu URL Zaznacz to pole wyboru.
Identyfikator URI odbiorców (identyfikator jednostki dostawcy usług) Ustaw na apigee-saml-login-opdk.
Default RelayState Możesz pozostawić to pole puste.
Format identyfikatora nazwy Podaj wartość EmailAddress.
Nazwa użytkownika aplikacji Podaj nazwę użytkownika Okta.
Wyrażenia dotyczące atrybutów (opcjonalne) Podaj FirstName, LastName i Email, jak na obrazku poniżej.

Gdy skończysz, okno ustawień SAML powinno wyglądać tak: