Edge for Private Cloud v4.18.05
Wenn SAML aktiviert ist, fordert der Hauptnutzer (ein Edge-Benutzeroberflächennutzer) den Zugriff auf den Dienstanbieter (Edge SSO) an. Edge SSO fordert dann eine Identitätsbestätigung vom SAML-Identitätsanbieter (IdP) an und holt diese ab, um das für den Zugriff auf die Edge-Benutzeroberfläche erforderliche OAuth2-Token zu erstellen. Der Nutzer wird dann zur Edge-Benutzeroberfläche weitergeleitet.
Edge unterstützt viele Identitätsanbieter, darunter Okta und Microsoft Active Directory Federation Services (ADFS). Informationen zum Konfigurieren von ADFS für die Verwendung mit Edge finden Sie unter Edge als vertrauende Partei im ADFS-IdP konfigurieren. Informationen zu Okta finden Sie im folgenden Abschnitt.
Zum Konfigurieren Ihres SAML-IdP benötigt Edge eine E-Mail-Adresse, um den Nutzer zu identifizieren. Daher muss der Identitätsanbieter im Rahmen der Identitätsbestätigung eine E-Mail-Adresse zurückgeben.
Außerdem benötigen Sie möglicherweise einige oder alle der folgenden Elemente:
| Einstellung | Beschreibung |
|---|---|
| Metadaten-URL |
Der SAML-IdP benötigt möglicherweise die Metadaten-URL von Edge SSO. Die Metadaten-URL hat folgendes Format: protocol://apigee_sso_IP_DNS:port/saml/metadata Beispiel: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
| Assertion Consumer Service URL |
Kann als Weiterleitungs-URL zurück zu Edge verwendet werden, nachdem der Nutzer seine IdP-Anmeldedaten eingegeben hat. Sie muss folgendermaßen formatiert sein: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Beispiel: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
|
URL für die Abmeldung |
Sie können Edge SSO so konfigurieren, dass die Einmalabmeldung unterstützt wird. Weitere Informationen finden Sie unter Single Sign-On über die Edge-Benutzeroberfläche konfigurieren. Die URL für die Edge-SSO-Einmalanmeldung hat folgendes Format: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Beispiel: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
|
Die Entitäts-ID des Dienstanbieters (oder der Zielgruppen-URI) |
Für Edge SSO: apigee-saml-login-opdk |
Okta konfigurieren
So konfigurieren Sie Okta:
- Melden Sie sich in Okta an.
- Wählen Sie Anwendungen und dann Ihre SAML-Anwendung aus.
- Wählen Sie den Tab Zuweisungen aus, um der Anwendung Nutzer hinzuzufügen. Diese Nutzer können sich in der Edge-Benutzeroberfläche anmelden und Edge API-Aufrufe ausführen. Sie müssen jedoch zuerst jeden Nutzer einer Edge-Organisation hinzufügen und die Rolle des Nutzers angeben. Weitere Informationen finden Sie unter Neue Edge-Nutzer registrieren.
- Wählen Sie den Tab Anmelden aus, um die Metadaten-URL des Identitätsanbieters abzurufen. Speichern Sie diese URL, da Sie sie zum Konfigurieren von Edge benötigen.
- Wählen Sie den Tab Allgemein aus, um die Okta-Anwendung wie in der folgenden Tabelle beschrieben zu konfigurieren:
| Einstellung | Beschreibung |
|---|---|
| URL zur Einmalanmeldung | Gibt die Weiterleitungs-URL zurück zu Edge an, die verwendet werden soll, nachdem der Nutzer seine Okta-Anmeldedaten eingegeben hat. Diese URL hat das Format:
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk So aktivieren Sie TLS auf https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Dabei ist apigee_sso_IP_DNS die IP-Adresse oder der DNS-Name des Knotens, auf dem Bei dieser URL wird die Groß- und Kleinschreibung beachtet und SSO muss in Großbuchstaben eingegeben werden. Wenn vor |
| Verwenden Sie diese für die Empfänger-URL und die Ziel-URL. | Klicken Sie dieses Kästchen an. |
| Audience URI (SP-Entitäts-ID) | Legen Sie apigee-saml-login-opdk fest |
| Standard-RelayState | Kann leer bleiben. |
| Format der Namens-ID | Geben Sie EmailAddress an. |
| Nutzername für die Anwendung | Geben Sie Okta username an. |
| Attributbeschreibungen (optional) | Geben Sie FirstName, LastName und Email wie im Bild unten gezeigt an. |
Das Dialogfeld „SAML-Einstellungen“ sollte dann so aussehen:
