Edge pour Private Cloud v4.18.05
Lorsque SAML est activé, le compte principal (un utilisateur de l'UI Edge) demande l'accès au fournisseur de services (authentification unique Edge). L'authentification unique Edge demande ensuite et obtient une assertion d'identité auprès du fournisseur d'identité (IdP) SAML, puis utilise cette assertion pour créer le jeton OAuth2 requis pour accéder à l'UI Edge. L'utilisateur est ensuite redirigé vers l'UI Edge.
Edge est compatible avec de nombreux fournisseurs d'identité, y compris Okta et les services Microsoft Active Directory Federation Services (ADFS). Pour en savoir plus sur la configuration d'ADFS pour l'utiliser avec Edge, consultez Configurer Edge en tant que partie de confiance dans l'IDP ADFS. Pour Okta, consultez la section suivante.
Pour configurer votre fournisseur d'identité SAML, Edge nécessite une adresse e-mail pour identifier l'utilisateur. Par conséquent, le fournisseur d'identité doit renvoyer une adresse e-mail dans l'assertion d'identité.
Vous devrez peut-être également fournir les éléments suivants:
| Paramètre | Description |
|---|---|
| URL de métadonnées |
L'IDP SAML peut nécessiter l'URL des métadonnées de l'authentification unique Edge. L'URL des métadonnées se présente comme suit: protocol://apigee_sso_IP_DNS:port/saml/metadata Exemple : http://apigee_sso_IP_or_DNS:9099/saml/metadata |
| URL du service ACS |
Peut être utilisé comme URL de redirection vers Edge une fois que l'utilisateur a saisi ses identifiants d'IDP, sous la forme: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Exemple : http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
|
URL de déconnexion unique |
Vous pouvez configurer Edge SSO pour qu'il prenne en charge la déconnexion unique. Pour en savoir plus, consultez la section Configurer la déconnexion unique à partir de l'interface utilisateur Edge. L'URL de déconnexion unique de l'authentification unique Edge se présente sous la forme suivante: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Exemple : http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
|
ID de l'entité du fournisseur de services (ou URI d'audience) |
Pour Edge SSO: apigee-saml-login-opdk |
Configurer Okta
Pour configurer Okta:
- Connectez-vous à Okta.
- Sélectionnez Applications, puis votre application SAML.
- Sélectionnez l'onglet Attributions pour ajouter des utilisateurs à l'application. Ces utilisateurs pourront se connecter à l'UI Edge et effectuer des appels d'API Edge. Toutefois, vous devez d'abord ajouter chaque utilisateur à une organisation Edge et spécifier son rôle. Pour en savoir plus, consultez Enregistrer de nouveaux utilisateurs Edge.
- Sélectionnez l'onglet Connexion pour obtenir l'URL des métadonnées du fournisseur d'identité. Stockez cette URL, car vous en aurez besoin pour configurer Edge.
- Sélectionnez l'onglet General (Général) pour configurer l'application Okta, comme indiqué dans le tableau ci-dessous:
| Paramètre | Description |
|---|---|
| URL d'authentification unique | Spécifie l'URL de redirection vers Edge à utiliser une fois que l'utilisateur a saisi ses identifiants Okta. Cette URL se présente sous la forme suivante :
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Si vous envisagez d'activer TLS sur https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Où apigee_sso_IP_DNS est l'adresse IP ou le nom DNS du nœud hébergeant Notez que cette URL est sensible à la casse et que SSO doit être en majuscules. Si vous disposez d'un équilibreur de charge devant |
| Utilisez-le pour l'URL du destinataire et l'URL de destination. | Cochez cette case. |
| URI d'audience (ID d'entité du fournisseur de services) | Variable définie sur apigee-saml-login-opdk. |
| Default RelayState | Vous pouvez laisser ce champ vide. |
| Format de l'ID de nom | Spécifiez EmailAddress. |
| Nom d'utilisateur de l'application | Spécifiez Okta username. |
| Déclarations d'attributs (facultatif) | Spécifiez FirstName, LastName et Email, comme illustré dans l'image ci-dessous. |
Une fois que vous avez terminé, la boîte de dialogue des paramètres SAML doit s'afficher comme suit:
