Cette page a été traduite par l'API Cloud Translation.

Configurer votre IDP SAML

Edge for Private Cloud v4.18.05

Lorsque SAML est activé, le compte principal (un utilisateur de l'interface utilisateur Edge) demande l'accès au fournisseur de services (authentification unique Edge). Edge SSO demande ensuite et obtient une assertion d'identité de la part du fournisseur d'identité SAML (IDP) et utilise cette assertion pour créer le jeton OAuth2 requis pour accéder à l'interface utilisateur Edge. L'utilisateur est ensuite redirigé vers l'interface utilisateur Edge.

Edge est compatible avec de nombreux IdP, y compris Okta et les services de fédération Microsoft Active Directory (ADFS). Pour plus d'informations sur la configuration d'ADFS pour une utilisation avec Edge, consultez la page Configurer Edge en tant que partie de confiance dans ADFS IDP. Pour Okta, consultez la section suivante.

Pour configurer votre IdP SAML, Edge a besoin d'une adresse e-mail pour identifier l'utilisateur. Par conséquent, le fournisseur d'identité doit renvoyer une adresse e-mail dans l'assertion d'identité.

En outre, vous aurez peut-être besoin de tout ou partie des éléments suivants:

Paramètre	Description
URL des métadonnées	L'IdP SAML peut nécessiter l'URL de métadonnées de Edge SSO. L'URL des métadonnées se présente sous la forme suivante: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/metadata Exemple : http://`apigee_sso_IP_or_DNS`:9099/saml/metadata
Assertion Consumer Service URL (URL du service ACS)	Peut être utilisée comme URL de redirection vers Edge après que l'utilisateur a saisi ses identifiants de fournisseur d'identité, sous la forme: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SSO/alias/apigee-saml-login-opdk Exemple : http://`apigee_sso_IP_or_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk
URL de déconnexion unique	Vous pouvez configurer l'authentification unique Edge pour qu'elle prenne en charge la déconnexion unique. Pour plus d'informations, consultez la section Configurer la déconnexion unique à partir de l'interface utilisateur Edge. L'URL de déconnexion unique de l'authentification unique Edge se présente sous la forme suivante: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SingleLogout/alias/apigee-saml-login-opdk Exemple : http://`apigee_sso_IP_DNS`:9099/saml/SingleLogout/alias/apigee-saml-login-opdk
ID d'entité du fournisseur de services (ou URI d'audience)	Pour l'authentification unique Edge: apigee-saml-login-opdk Remarque : Vous devez utiliser `apigee-saml-login-opdk` comme ID d'entité SPI. Vous ne pouvez pas le modifier.

Configurer Okta

Pour configurer Okta:

Connectez-vous à Okta.
Sélectionnez Applications, puis votre application SAML.
Sélectionnez l'onglet Assignments (Attributions) pour ajouter des utilisateurs à l'application. Ces utilisateurs pourront se connecter à l'interface utilisateur Edge et effectuer des appels d'API Edge. Cependant, vous devez d'abord ajouter chaque utilisateur à une organisation Edge et spécifier le rôle de l'utilisateur. Pour en savoir plus, consultez la section Enregistrer de nouveaux utilisateurs Edge.
Sélectionnez l'onglet Sign on (Connexion) pour obtenir l'URL des métadonnées du fournisseur d'identité. Stockez cette URL, car vous en aurez besoin pour configurer Edge.
Sélectionnez l'onglet General (Général) pour configurer l'application Okta, comme indiqué dans le tableau ci-dessous:

Paramètre	Description
URL d'authentification unique	Spécifie l'URL de redirection vers Edge à utiliser après la saisie de ses informations d'identification Okta. Cette URL se présente au format suivant : http://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk Si vous prévoyez d'activer le protocole TLS sur `apigee-sso`: https://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk Où `apigee_sso_IP_DNS` est l'adresse IP ou le nom DNS du nœud hébergeant `apigee-sso`. Notez que cette URL est sensible à la casse et que l'authentification unique doit apparaître en majuscules. Si vous disposez d'un équilibreur de charge devant `apigee-sso`,spécifiez l'adresse IP ou le nom DNS de `apigee-sso` comme référencé via cet équilibreur de charge.
Utilisez ce champ pour l'URL du destinataire et l'URL de destination	Cochez cette case.
URI d'audience (ID d'entité du fournisseur de services)	Définir sur `apigee-saml-login-opdk`
Default RelayState	Ce champ peut être laissé vide.
Format de l'ID du nom	Spécifiez `EmailAddress`.
Nom d'utilisateur de l'application	Spécifiez `Okta username`.
Instructions d'attribut (facultatif)	Spécifiez `FirstName`, `LastName` et `Email` comme illustré dans l'image ci-dessous.

Une fois que vous avez terminé, la boîte de dialogue des paramètres SAML doit s'afficher comme suit: