このページは Cloud Translation API によって翻訳されました。

SAML IDP を構成する

Edge for Private Cloud v4.18.05

SAML が有効な場合、プリンシパル（Edge UI ユーザー）がサービスプロバイダ（Edge SSO）にアクセスをリクエストします。すると、Edge SSO が SAML ID プロバイダ（IDP）に ID アサーションをリクエストします。Edge SSO は SAML ID プロバイダから取得した ID アサーションを使用して、Edge UI にアクセスするために必要な OAuth2 トークンを作成します。その後、ユーザーは Edge UI にリダイレクトされます。

Edge は、Okta や Microsoft Active Directory フェデレーションサービス（ADFS）などの多くの IDP をサポートしています。ADFS を Edge で使用できるように構成する方法については、ADFS IDP での証明書利用者としての Edge の構成をご覧ください。Okta については、次のセクションをご覧ください。

SAML IDP を構成するには、ユーザーを識別するメールアドレスが必要です。したがって、ID プロバイダは、ID アサーションの一部としてメールアドレスを返す必要があります。

さらに、次の一部またはすべてが必要になる場合があります。

設定	説明
Metadata URL	SAML IDP には Edge SSO のメタデータ URL が必要な場合があります。メタデータ URL の形式は次のとおりです。 `protocol`://`apigee_sso_IP_DNS`:`port`/saml/metadata 次に例を示します。 http://`apigee_sso_IP_or_DNS`:9099/saml/metadata
Assertion Consumer Service の URL	ユーザーが IDP 認証情報を入力した後で、Edge へのリダイレクト URL として次の形式で使用できます。 `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SSO/alias/apigee-saml-login-opdk 次に例を示します。 http://`apigee_sso_IP_or_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk
シングルログアウト URL	シングルログアウトをサポートするように Edge SSO を構成できます。詳細については、Edge UI からのシングルログアウトを構成するをご覧ください。Edge SSO のシングルログアウトの URL の形式は次のとおりです。 `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SingleLogout/alias/apigee-saml-login-opdk 次に例を示します。 http://`apigee_sso_IP_DNS`:9099/saml/SingleLogout/alias/apigee-saml-login-opdk
SP エンティティ ID（またはオーディエンス URI）	Edge SSO の場合は次のようになります。 apigee-saml-login-opdk 注: SP エンティティ ID には常に `apigee-saml-login-opdk` を使用する必要があります。これは変更できません。

Okta の構成

Okta を構成するには:

Okta にログインします。
[Applications] を選択し、SAML アプリケーションを選択します。
[Assignments] タブを選択し、アプリケーションにユーザーを追加します。これらのユーザーは、Edge UI にログインして Edge API 呼び出しを行うことができます。ただし、最初に各ユーザーを Edge 組織に追加し、ユーザーのロールを指定する必要があります。詳細については、新しい Edge ユーザーを登録するをご覧ください。
[Sign on] タブを選択し、ID プロバイダのメタデータ URL を取得します。この URL は Edge を構成するときに必要となるため、メモしておきます。
[General] タブを選択し、Okta アプリケーションを次の表に示すように構成します。

設定	説明
シングルサインオン URL	ユーザーが Okta 認証情報を入力した後に使用される、Edge へのリダイレクト URL を指定します。この URL の形式は次のとおりです。 http://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk `apigee-sso` で TLS を有効にする場合: https://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk ここで、`apigee_sso_IP_DNS` は、`apigee-sso` をホストしているノードの IP アドレスまたは DNS 名です。この URL では大文字と小文字が区別され、SSO は大文字でなければなりません。 `apigee-sso` の前にロードバランサがある場合は、ロードバランサを通じて参照される `apigee-sso` の IP アドレスまたは DNS 名を指定します。
Use this for Recipient URL and Destination URL	このチェックボックスをオンにします。
Audience URI (SP Entity ID)	`apigee-saml-login-opdk` に設定
Default RelayState	空白のままにできます。
名前 ID の形式	`EmailAddress` を指定します。
Application username	`Okta username` を指定します。
Attribute Statements（省略可）	次の図に示すように、`FirstName`、`LastName`、`Email` を指定します。

これらを設定すると、[SAML Settings] ダイアログボックスは次のようになります。