Edge for Private Cloud v4.18.05
Khi SAML được bật, thực thể chính (người dùng giao diện người dùng Edge) sẽ yêu cầu quyền truy cập vào nhà cung cấp dịch vụ (Edge SSO). Sau đó, tính năng SSO của Edge sẽ yêu cầu và nhận được một câu nhận định về danh tính từ nhà cung cấp danh tính (IDP) SAML, đồng thời sử dụng câu nhận định đó để tạo mã OAuth2 cần thiết để truy cập vào giao diện người dùng Edge. Sau đó, người dùng sẽ được chuyển hướng đến giao diện người dùng Edge.
Edge hỗ trợ nhiều IDP, bao gồm Okta và Dịch vụ liên kết Active Directory của Microsoft (ADFS). Để biết thông tin về cách định cấu hình ADFS để sử dụng với Edge, hãy xem phần Định cấu hình Edge làm Bên phụ thuộc trong IDP ADFS. Đối với Okta, hãy xem phần sau.
Để định cấu hình SAML IdP, Edge yêu cầu một địa chỉ email để xác định người dùng. Do đó, nhà cung cấp danh tính phải trả về một địa chỉ email trong thông báo xác nhận danh tính.
ngoài ra, bạn có thể yêu cầu một số hoặc tất cả những thông tin sau:
| Xem xét | Mô tả |
|---|---|
| URL siêu dữ liệu |
Nhà cung cấp danh tính SAML có thể yêu cầu URL siêu dữ liệu của Edge SSO. URL siêu dữ liệu có dạng: protocol://apigee_sso_IP_DNS:port/saml/metadata Ví dụ: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
| URL của Dịch vụ xác nhận |
Có thể dùng làm URL chuyển hướng về Edge sau khi người dùng nhập thông tin xác thực của IDP, ở dạng: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Ví dụ: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
|
URL đăng xuất một lần |
Bạn có thể định cấu hình tính năng Đăng nhập một lần của Edge để hỗ trợ đăng xuất một lần. Hãy xem phần Định cấu hình tính năng đăng xuất một lần trên giao diện người dùng Edge để biết thêm thông tin. URL đăng xuất một lần của Edge SSO có dạng: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Ví dụ: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
|
Mã thực thể SP (hoặc URI đối tượng) |
Đối với SSO Edge: apigee-saml-login-opdk |
Định cấu hình Okta
Cách định cấu hình Okta:
- Đăng nhập vào Okta.
- Chọn Applications (Ứng dụng), sau đó chọn ứng dụng SAML của bạn.
- Chọn thẻ Bài tập để thêm người dùng vào ứng dụng. Những người dùng này sẽ có thể đăng nhập vào giao diện người dùng Edge và thực hiện các lệnh gọi API Edge. Tuy nhiên, trước tiên, bạn phải thêm từng người dùng vào một tổ chức Edge và chỉ định vai trò của người dùng. Hãy xem phần Đăng ký người dùng Edge mới để biết thêm thông tin.
- Chọn thẻ Đăng nhập để lấy URL siêu dữ liệu của Nhà cung cấp danh tính. Lưu trữ URL đó vì bạn cần URL đó để định cấu hình Edge.
- Chọn thẻ General (Chung) để định cấu hình ứng dụng Okta, như trong bảng dưới đây:
| Xem xét | Mô tả |
|---|---|
| URL đăng nhập một lần | Chỉ định URL chuyển hướng trở lại Edge để sử dụng sau khi người dùng nhập thông tin xác thực Okta. URL này có dạng:
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Nếu bạn dự định bật TLS trên https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Trong đó, apigee_sso_IP_DNS là địa chỉ IP hoặc tên DNS của nút lưu trữ Xin lưu ý rằng URL này có phân biệt chữ hoa chữ thường và SSO phải xuất hiện ở dạng chữ hoa. Nếu bạn có trình cân bằng tải ở phía trước |
| Sử dụng URL này cho URL người nhận và URL đích | Đánh dấu vào hộp này. |
| URI đối tượng (Mã thực thể SP) | Đặt thành apigee-saml-login-opdk |
| RelayState mặc định | Có thể để trống. |
| Định dạng của mã tên | Chỉ định EmailAddress. |
| Tên người dùng ứng dụng | Chỉ định Okta username. |
| Tuyên bố thuộc tính (Không bắt buộc) | Chỉ định FirstName, LastName và Email như trong hình bên dưới. |
Hộp thoại cài đặt SAML sẽ xuất hiện như bên dưới sau khi bạn hoàn tất:
