Edge for Private Cloud 4.18.05
啟用 SAML 後,主要使用者 (Edge UI 使用者) 會要求存取服務供應器 (Edge SSO)。Edge SSO 隨後會向 SAML 身分識別資訊提供者 (IdP) 要求並取得身分斷言,然後使用該斷言建立存取 Edge UI 所需的 OAuth2 權杖。接著,系統會將使用者重新導向至 Edge UI。
Edge 支援許多 IDP,包括 Okta 和 Microsoft Active Directory Federation Services (ADFS)。如要瞭解如何設定 ADFS 以便與 Edge 搭配使用,請參閱「將 Edge 設為 ADFS IdP 中的依附方」。如需瞭解 Okta 的相關資訊,請參閱下節。
如要設定 SAML IdP,Edge 需要使用電子郵件地址來識別使用者。因此,身分驗證提供者必須在身分斷言中傳回電子郵件地址。
此外,您可能需要下列部分或所有項目:
| 設定 | 說明 |
|---|---|
| 中繼資料網址 |
SAML IDP 可能需要 Edge SSO 的中繼資料網址。中繼資料網址格式如下: protocol://apigee_sso_IP_DNS:port/saml/metadata 例如: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
| Assertion Consumer Service URL (宣告客戶服務網址) |
使用者輸入 IDP 憑證後,可用於將使用者重新導向至 Edge 的網址,格式如下: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk 例如: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
|
單一登出網址 |
您可以設定 Edge SSO 支援單一登出功能。詳情請參閱「從 Edge UI 設定單一登出功能」。Edge SSO 單一登出網址的格式如下: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk 例如: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
|
SP 實體 ID (或目標對象 URI) |
Edge 單一登入: apigee-saml-login-opdk |
設定 Okta
如要設定 Okta,請按照下列步驟操作:
- 登入 Okta。
- 依序選取「應用程式」和 SAML 應用程式。
- 選取「指派」分頁標籤,即可將任何使用者新增至應用程式。這些使用者將能夠登入 Edge UI,並發出 Edge API 呼叫。不過,您必須先將每位使用者新增至 Edge 機構,並指定使用者的角色。詳情請參閱「註冊新的 Edge 使用者」。
- 選取「Sign on」分頁標籤,取得 Identity Provider 中繼資料網址。請儲存該網址,因為您需要用來設定 Edge。
- 選取「General」分頁標籤,即可設定 Okta 應用程式,如下表所示:
| 設定 | 說明 |
|---|---|
| 單一登入網址 | 指定重新導向網址,以便在使用者輸入 Okta 憑證後,將使用者重新導向至 Edge。這個網址的格式如下:
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk 如果您打算在 https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk 其中 apigee_sso_IP_DNS 是代管 請注意,這個網址會區分大小寫,且 SSO 必須以大寫顯示。 如果 |
| 用於收件者網址和到達網頁網址 | 勾選這個核取方塊。 |
| 目標對象 URI (SP 實體 ID) | 已設為「apigee-saml-login-opdk」 |
| 預設 RelayState | 可留空。 |
| 名稱 ID 格式 | 指定 EmailAddress。 |
| 應用程式使用者名稱 | 指定 Okta username。 |
| 屬性陳述式 (選填) | 如以下圖片所示,指定 FirstName、LastName 和 Email。 |
完成後,SAML 設定對話方塊應會顯示如下:
