Использование SAML с пользовательским интерфейсом Edge

Edge для частного облака v4.18.01

Спецификация SAML определяет три сущности:

  • Руководитель (пользователь Edge UI)
  • Поставщик услуг (Edge SSO)
  • Поставщик удостоверений (возвращает утверждение SAML)

Когда SAML включен, субъект (пользователь Edge UI) запрашивает доступ к поставщику услуг (Edge SSO). Edge SSO (в роли поставщика услуг SAML) затем запрашивает и получает подтверждение идентификации от поставщика удостоверений SAML и использует это утверждение для создания токена OAuth2, необходимого для доступа к пользовательскому интерфейсу Edge. Затем пользователь перенаправляется в пользовательский интерфейс Edge.

Этот процесс показан ниже:

На этой диаграмме:

  1. Пользователь пытается получить доступ к пользовательскому интерфейсу Edge, отправляя запрос на URL-адрес входа в интерфейс Edge. Например: https:// edge_ui_IP_DNS :9000
  2. Неаутентифицированные запросы перенаправляются поставщику удостоверений SAML. Например, «https://idp.customer.com».
  3. Если клиент не вошел в систему поставщика удостоверений, ему будет предложено войти в систему.
  4. Пользователь аутентифицируется поставщиком удостоверений SAML. Поставщик удостоверений SAML генерирует и возвращает утверждение SAML 2.0 в Edge SSO.
  5. Edge SSO проверяет утверждение, извлекает из него удостоверение пользователя, генерирует токен аутентификации OAuth 2 для пользовательского интерфейса Edge и перенаправляет пользователя на главную страницу пользовательского интерфейса Edge по адресу:
    https://edge_ui_IP_DNS:9000/platform/orgName

    где orgName — это имя организации Edge.