适用于私有云的 Edge v4.18.05
启用 SAML 后,主账号(Edge 界面用户)请求访问服务提供商 (Edge SSO)。然后,Edge SSO 会向 SAML 身份提供方 (IdP) 请求并获取身份断言,然后使用该断言来创建访问 Edge 界面所需的 OAuth2 令牌。 然后,用户会被重定向到 Edge 界面。
Edge 支持许多 IDP,包括 Okta 和 Microsoft Active Directory Federation Services (ADFS)。如需了解如何配置 ADFS 以与 Edge 搭配使用,请参阅在 ADFS IDP 中将 Edge 配置为依赖方。对于 Okta,请参阅以下部分。
如需配置 SAML IDP,Edge 需要电子邮件地址来识别用户。因此,身份提供程序必须在身份断言中返回电子邮件地址。
此外,您可能还需要满足以下部分或全部要求:
| 设置 | 说明 |
|---|---|
| 元数据网址 |
SAML IDP 可能需要 Edge SSO 的元数据网址。元数据网址的格式为: protocol://apigee_sso_IP_DNS:port/saml/metadata 例如: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
| 断言消费者服务网址 |
可用作用户输入 IDP 凭据后返回 Edge 的重定向网址,格式如下: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk 例如: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
|
单个退出网址 |
您可以配置 Edge SSO 以支持单次退出。如需了解详情,请参阅通过 Edge 界面配置单点退出。Edge SSO 单点退出网址的格式为: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk 例如: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
|
SP 实体 ID(或受众群体 URI) |
对于 Edge SSO: apigee-saml-login-opdk |
配置 Okta
如需配置 Okta,请执行以下操作:
- 登录 Okta。
- 选择应用,然后选择您的 SAML 应用。
- 选择分配标签页,将任何用户添加到应用。这些用户将能够登录 Edge 界面并发出 Edge API 调用。不过,您必须先将每位用户添加到 Edge 组织,并指定用户的角色。如需了解详情,请参阅注册新的 Edge 用户。
- 选择登录标签页以获取身份提供方元数据网址。请存储该网址,因为您需要它来配置 Edge。
- 选择 General 标签页以配置 Okta 应用,如下表所示:
| 设置 | 说明 |
|---|---|
| 单点登录网址 | 指定返回 Edge 的重定向网址,以供用户输入 Okta 凭据后使用。此网址的格式为: http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk 如果您打算在 https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk 其中,apigee_sso_IP_DNS 是托管 请注意,此网址区分大小写,且 SSO 必须采用大写形式。 如果您在 |
| 将其用作收件人网址和目标网址 | 设置此复选框。 |
| 受众群体 URI(SP 实体 ID) | 设置为 apigee-saml-login-opdk |
| 默认 RelayState | 可以留空。 |
| 名称 ID 格式 | 指定 EmailAddress。 |
| 应用用户名 | 指定 Okta username。 |
| 属性说明(可选) | 指定 FirstName、LastName 和 Email,如以下图片所示。 |
完成后,SAML 设置对话框应如下所示:
