Edge for Private Cloud v4.18.05
Quando SAML è abilitato, il principale (un utente dell'interfaccia utente di Edge) richiede l'accesso al fornitore di servizi (SSO di Edge). SSO di Edge richiede e ottiene un'affermazione di identità dal provider di identità (IdP) SAML e utilizza questa affermazione per creare il token OAuth2 necessario per accedere all'interfaccia utente di Edge. L'utente viene quindi reindirizzato all'interfaccia utente di Edge.
Edge supporta molti provider di identità, tra cui Okta e Microsoft Active Directory Federation Services (ADFS). Per informazioni sulla configurazione di ADFS per l'utilizzo con Edge, consulta Configurare Edge come parte attendibile in ADFS IdP. Per Okta, consulta la sezione seguente.
Per configurare l'IdP SAML, Edge richiede un indirizzo email per identificare l'utente. Pertanto, il provider di identità deve restituire un indirizzo email nell'ambito dell'affermazione dell'identità.
Inoltre, potresti richiedere alcune o tutte le seguenti informazioni:
| Impostazione | Descrizione |
|---|---|
| URL dei metadati |
L'IdP SAML potrebbe richiedere l'URL dei metadati di Edge SSO. L'URL dei metadati sia nel formato: protocol://apigee_sso_IP_DNS:port/saml/metadata Ad esempio: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
| URL Assertion Consumer Service |
Può essere utilizzato come URL di reindirizzamento a Edge dopo che l'utente ha inserito le proprie credenziali IdP, nel seguente formato: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Ad esempio: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
|
URL di disconnessione singola |
Puoi configurare il servizio SSO di Edge in modo che supporti la disconnessione singola. Per saperne di più, consulta Configurare la disconnessione singola dall'interfaccia utente di Edge. L'URL di disconnessione singola SSO di Edge ha il seguente formato: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Ad esempio: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
|
L'ID entità SP (o l'URI Audience) |
Per SSO Edge: apigee-saml-login-opdk |
Configurazione di Okta
Per configurare Okta:
- Accedi a Okta.
- Seleziona Applicazioni e poi la tua applicazione SAML.
- Seleziona la scheda Compiti per aggiungere utenti all'applicazione. Questi utenti potranno accedere all'interfaccia utente di Edge ed effettuare chiamate all'API Edge. Tuttavia, devi prima aggiungere ogni utente a un'organizzazione Edge e specificare il suo ruolo. Per saperne di più, consulta Registrare nuovi utenti di Edge.
- Seleziona la scheda Accesso per ottenere l'URL dei metadati del provider di identità. Memorizza quell'URL perché ti servirà per configurare Edge.
- Seleziona la scheda Generale per configurare l'applicazione Okta, come mostrato nella tabella di seguito:
| Impostazione | Descrizione |
|---|---|
| URL Single Sign-On | Specifica l'URL di reindirizzamento a Edge da utilizzare dopo che l'utente ha inserito le sue credenziali di Okta. Questo URL ha il seguente formato:
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Se prevedi di attivare TLS su https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk dove apigee_sso_IP_DNS è l'indirizzo IP o il nome DNS del
nodo che ospita Tieni presente che questo URL è sensibile alle maiuscole e che SSO deve essere visualizzato in maiuscolo. Se hai un bilanciatore del carico davanti a |
| Utilizza questa opzione per l'URL destinatario e l'URL di destinazione | Imposta questa casella di controllo. |
| URI pubblico (ID entità SP) | Metodo impostato: apigee-saml-login-opdk |
| RelayState predefinito | Può essere lasciato vuoto. |
| Formato ID nome | Specifica EmailAddress. |
| Nome utente dell'applicazione | Specifica Okta username. |
| Dichiarazioni degli attributi (facoltative) | Specifica FirstName, LastName e
Email come mostrato nell'immagine di seguito. |
Al termine, la finestra di dialogo delle impostazioni SAML dovrebbe apparire come mostrato di seguito:
