דף זה תורגם על ידי Cloud Translation API.

הגדרה של SAML IdP

Edge for Private Cloud v4.18.05

כש-SAML מופעל, חשבון המשתמש (משתמש בממשק המשתמש של Edge) מבקש גישה לספק השירות (Edge SSO). לאחר מכן, Edge SSO מבקש טענת נכוֹנוּת (assertion) של זהות מספק הזהויות (IdP) של SAML, ומשתמש בטענת הנכוֹנוּת הזו כדי ליצור את אסימון ה-OAuth2 שנדרש כדי לגשת לממשק המשתמש של Edge. לאחר מכן המשתמש יופנה לממשק המשתמש של Edge.

Edge תומך ב-IDPs רבים, כולל Okta ו-Microsoft Active Directory Federation Services‏ (ADFS). מידע נוסף על הגדרת ADFS לשימוש עם Edge זמין במאמר הגדרת Edge כצד נסמך ב-ADFS IDP. ל-Okta, עיינו בקטע הבא.

כדי להגדיר את ה-IdP ב-SAML, נדרש ל-Edge כתובת אימייל לזיהוי המשתמש. לכן, ספק הזהויות חייב להחזיר כתובת אימייל כחלק מהצהרת הזהות.

בנוסף, יכול להיות שתצטרכו חלק מהפריטים הבאים או את כולם:

הגדרה	תיאור
כתובת ה-URL של המטא-נתונים	יכול להיות ש-SAML IDP ידרוש את כתובת ה-URL של המטא-נתונים של Edge SSO. כתובת ה-URL של המטא-נתונים היא בפורמט: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/metadata לדוגמה: http://`apigee_sso_IP_or_DNS`:9099/saml/metadata
Assertion Consumer Service URL	אפשר להשתמש בה ככתובת ה-URL להפניה אוטומטית חזרה אל Edge אחרי שהמשתמש מזין את פרטי הכניסה שלו ל-IdP, בפורמט: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SSO/alias/apigee-saml-login-opdk לדוגמה: http://`apigee_sso_IP_or_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk
כתובת URL יחידה ליציאה	אפשר להגדיר את Edge SSO כך שיתמוך ביציאה יחידה. מידע נוסף זמין במאמר הגדרת יציאה יחידה מהממשק של Edge. הפורמט של כתובת ה-URL ליציאה יחידה מ-SSO ב-Edge הוא: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SingleLogout/alias/apigee-saml-login-opdk לדוגמה: http://`apigee_sso_IP_DNS`:9099/saml/SingleLogout/alias/apigee-saml-login-opdk
מזהה הישות של ספק השירות (או Audience URI)	ל-Edge SSO: apigee-saml-login-opdk הערה: צריך להשתמש ב-`apigee-saml-login-opdk` בתור מזהה הישות של ה-SPI. אי אפשר לשנות אותו.

הגדרת Okta

כדי להגדיר את Okta:

מתחברים ל-Okta.
בוחרים באפשרות Applications (אפליקציות) ואז בוחרים את אפליקציית SAML.
בוחרים בכרטיסייה Assignments (מטלות) כדי להוסיף משתמשים לאפליקציה. המשתמשים האלה יוכלו להתחבר לממשק המשתמש של Edge ולבצע קריאות ל-Edge API. עם זאת, קודם צריך להוסיף כל משתמש לארגון Edge ולציין את התפקיד שלו. מידע נוסף זמין במאמר רישום משתמשי Edge חדשים.
בוחרים בכרטיסייה Sign on (כניסה) כדי לקבל את כתובת ה-URL של המטא-נתונים של ספק הזהויות. שומרים את כתובת ה-URL הזו כי תצטרכו אותה כדי להגדיר את Edge.
בוחרים בכרטיסייה General כדי להגדיר את אפליקציית Okta, כפי שמתואר בטבלה הבאה:

הגדרה	תיאור
כתובת URL לכניסה יחידה (SSO)	מציין את כתובת ה-URL להפניה אוטומטית חזרה אל Edge לשימוש אחרי שהמשתמש מזין את פרטי הכניסה שלו ל-Okta. כתובת ה-URL הזו בפורמט: http://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk אם אתם מתכננים להפעיל את TLS ב-`apigee-sso`: https://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk כאשר `apigee_sso_IP_DNS` היא כתובת ה-IP או שם ה-DNS של הצומת שמארח את `apigee-sso`. חשוב לזכור שכתובת ה-URL הזו תלוית אותיות רישיות, ויש להזין את SSO באותיות רישיות. אם יש מאזן עומסים לפני `apigee-sso`,צריך לציין את כתובת ה-IP או שם ה-DNS של `apigee-sso` כפי שהם מופיעים במאזן העומסים.
שימוש בשדה הזה עבור כתובת ה-URL של הנמען וכתובת היעד	מסמנים את התיבה הזו.
Audience URI‏ (SP Entity ID)	הגדרה בתור `apigee-saml-login-opdk`
ברירת המחדל של RelayState	אפשר להשאיר את השדה ריק.
פורמט למזהה שם	מציינים את הערך `EmailAddress`.
שם המשתמש לצורך האפליקציה	מציינים את הערך `Okta username`.
הצהרות על מאפיינים (אופציונלי)	מציינים את הערכים `FirstName`,‏ `LastName` ו-`Email` כפי שמוצג בתמונה שבהמשך.

בסיום, תיבת הדו-שיח של הגדרות SAML אמורה להיראות כך: