กําหนดค่า SAML IDP

Edge สำหรับ Private Cloud เวอร์ชัน 4.18.01

เมื่อเปิดใช้ SAML ผู้ใช้หลัก (ผู้ใช้ Edge UI) จะขอสิทธิ์เข้าถึงผู้ให้บริการ (Edge SSO) จากนั้น Edge SSO จะขอและรับการยืนยันข้อมูลประจำตัวจากผู้ให้บริการข้อมูลประจำตัว (IDP) SAML และใช้การยืนยันดังกล่าวในการสร้างโทเค็น OAuth2 ที่จำเป็นต่อการเข้าถึง Edge UI จากนั้นระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยัง Edge UI

Edge รองรับ IdP จำนวนมาก รวมถึง Okta และ Microsoft Active Directory Federation Services (ADFS) โปรดดูข้อมูลเกี่ยวกับการกำหนดค่า ADFS สำหรับใช้กับ Edge ที่หัวข้อการกำหนดค่า Edge ในฐานะ Relying Party ใน ADFS IDP สำหรับ Okta โปรดดูหัวข้อต่อไปนี้

Edge ต้องใช้อีเมลในการระบุตัวตนผู้ใช้เพื่อกำหนดค่า SAML IDP ดังนั้นผู้ให้บริการข้อมูลประจำตัวต้องแสดงผลอีเมล ซึ่งเป็นส่วนหนึ่งของการยืนยันตัวตน

นอกจากนี้ คุณอาจต้องการสิ่งต่อไปนี้บางส่วนหรือทั้งหมด

การเกริ่นนำ คำอธิบาย
URL ข้อมูลเมตา

SAML IDP อาจต้องมี URL ข้อมูลเมตาของ Edge SSO URL ของข้อมูลเมตาอยู่ในรูปแบบต่อไปนี้

protocol://apigee_sso_IP_DNS:port/saml/metadata

เช่น

http://apigee_sso_IP_or_DNS:9099/saml/metadata

Assertion Consumer Service URL

ใช้เป็น URL เปลี่ยนเส้นทางกลับไปยัง Edge ได้หลังจากที่ผู้ใช้ป้อนข้อมูลเข้าสู่ระบบ IdP ในแบบฟอร์ม

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

เช่น

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

URL การออกจากระบบรายการเดียว

คุณสามารถกำหนดค่า Edge SSO ให้รองรับการออกจากระบบแบบครั้งเดียวได้ ดูข้อมูลเพิ่มเติมได้ที่กำหนดค่าการลงชื่อเพียงครั้งเดียวจาก Edge UI URL การออกจากระบบรายการเดียวของ Edge SSO จะมีรูปแบบดังนี้

protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

เช่น

http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

รหัสเอนทิตี SP (หรือ URI กลุ่มเป้าหมาย)

สำหรับ Edge SSO

apigee-saml-login-opdk

การกำหนดค่า Okta

วิธีกำหนดค่า Okta

  1. ลงชื่อเข้าสู่ระบบ Okta
  2. เลือก Applications แล้วเลือกแอปพลิเคชัน SAML
  3. เลือกแท็บ Assignments เพื่อเพิ่มผู้ใช้ลงในแอปพลิเคชัน ผู้ใช้เหล่านี้จะเข้าสู่ระบบ Edge UI และเรียก Edge API ได้ แต่คุณต้องเพิ่มผู้ใช้แต่ละรายลงในองค์กร Edge และระบุบทบาทของผู้ใช้ก่อน โปรดดูข้อมูลเพิ่มเติมที่ลงทะเบียนผู้ใช้ Edge รายใหม่
  4. เลือกแท็บ Sign on เพื่อรับ URL ข้อมูลเมตาของผู้ให้บริการข้อมูลประจำตัว จัดเก็บ URL ดังกล่าวเนื่องจากคุณจำเป็นต้องใช้เพื่อกำหนดค่า Edge
  5. เลือกแท็บทั่วไปเพื่อกำหนดค่าแอปพลิเคชัน Okta ดังที่แสดงในตารางด้านล่าง
การตั้งค่า คำอธิบาย
URL การลงชื่อเพียงครั้งเดียว ระบุ URL เปลี่ยนเส้นทางกลับไปยัง Edge เพื่อใช้หลังจากที่ผู้ใช้ป้อนข้อมูลเข้าสู่ระบบ Okta URL นี้อยู่ในรูปแบบ:

http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk หรือหากวางแผนที่จะเปิดใช้ TLS ใน apigee-sso

https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk โดยที่ apigee_sso_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของโหนดที่โฮสต์ apigee-sso โปรดทราบว่า URL นี้คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ และ SSO ต้องปรากฏเป็นตัวพิมพ์ใหญ่

หากคุณมีตัวจัดสรรภาระงานอยู่ด้านหน้า apigee-sso ให้ระบุที่อยู่ IP หรือชื่อ DNS ของ apigee-sso ตามที่อ้างอิงผ่านตัวจัดสรรภาระงาน

ใช้ URL นี้สำหรับ URL ของผู้รับและ URL ปลายทาง ตั้งค่าช่องทำเครื่องหมายนี้
URI กลุ่มเป้าหมาย (รหัสเอนทิตี SP) ตั้งค่าเป็น apigee-saml-login-opdk
RelayState เริ่มต้น เว้นว่างไว้ได้
รูปแบบรหัสชื่อ ระบุ EmailAddress
ชื่อผู้ใช้แอปพลิเคชัน ระบุชื่อผู้ใช้ Okta
คำสั่งแอตทริบิวต์ (ไม่บังคับ) ระบุ FirstName, LastName และ Email ตามที่แสดงในภาพด้านล่าง

เมื่อคุณดำเนินการเสร็จแล้ว กล่องโต้ตอบการตั้งค่า SAML ควรปรากฏด้านล่างนี้