SAML IDP を構成する

Edge for Private Cloud v4.18.05

SAML が有効な場合、プリンシパル(Edge UI ユーザー)がサービス プロバイダ(Edge SSO)にアクセスをリクエストします。すると、Edge SSO が SAML ID プロバイダ(IDP)に ID アサーションをリクエストします。Edge SSO は SAML ID プロバイダから取得した ID アサーションを使用して、Edge UI にアクセスするために必要な OAuth2 トークンを作成します。トークンが作成されると、ユーザーは Edge UI にリダイレクトされます。

Edge は、Okta や Microsoft Active Directory フェデレーション サービス(ADFS)を含む多くの IDP をサポートしています。Edge で使用するための ADFS の構成については、ADFS IDP での証明書利用者としての Edge の構成をご覧ください。Okta については、次のセクションをご覧ください。

SAML IDP を構成するには、ユーザーを識別するメールアドレスが必要です。したがって、ID プロバイダは、ID アサーションの一部としてメールアドレスを返す必要があります。

さらに、次の一部またはすべてが必要になる場合があります。

設定 説明
メタデータ URL

SAML IDP には Edge SSO のメタデータ URL が必要な場合があります。メタデータ URL の形式は次のとおりです。


protocol://apigee_sso_IP_DNS:port/saml/metadata

例:


http://apigee_sso_IP_or_DNS:9099/saml/metadata
アサーション コンシューマ サービス URL

ユーザーが IDP 認証情報を入力した後で、Edge へのリダイレクト URL として次の形式で使用できます。


protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

例:


http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

シングル ログアウトの URL

シングル ログアウトをサポートするように Edge SSO を構成できます。詳しくは、Edge UI からのシングル ログアウトを構成するをご覧ください。Edge SSO のシングル ログアウトの URL の形式は次のとおりです。


protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

例:


http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

SP エンティティ ID(またはオーディエンスの URI)

Edge SSO の場合は次のようになります。


apigee-saml-login-opdk

Okta の構成

Okta を構成するには:

  1. Okta にログインします。
  2. [Applications] を選択し、SAML アプリケーションを選択します。
  3. [Assignments] タブを選択して、ユーザーをアプリケーションに追加します。これらのユーザーは、Edge UI にログインして Edge API 呼び出しを行うことができます。ただし、最初に各ユーザーを Edge 組織に追加し、ユーザーの役割を指定する必要があります。詳細については、新しい Edge ユーザーを登録するをご覧ください。
  4. [Sign on] タブを選択して、ID プロバイダのメタデータ URL を取得します。Edge を構成するために必要なので、その URL を保管してください。
  5. 下の表に示すように、[General] タブを選択して Okta アプリケーションを構成します。
設定 説明
Single sign on URL ユーザーが Okta 認証情報を入力した後で使用する、Edge へのリダイレクト URL を指定します。この URL の形式は次のとおりです。

http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

apigee-sso で TLS を有効にする場合は、次のようになります。


https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

ここで、apigee_sso_IP_DNS は、apigee-sso をホストしているノードの IP アドレスまたは DNS 名です。

この URL では大文字と小文字が区別され、SSO は大文字で表記する必要があります。

apigee-sso の前面にロードバランサが配置されている場合は、ロードバランサを通じて参照される apigee-sso の IP アドレスまたは DNS 名を指定します。

Use this for Recipient URL and Destination URL このチェックボックスをオンにします。
Audience URI (SP Entity ID) apigee-saml-login-opdk に設定します。
Default RelayState 空白のままにできます。
Name ID format EmailAddress を指定します。
Application username Okta username を指定します。
Attribute Statements (Optional) 下の画像に示すように、FirstNameLastNameEmail を指定します。

完了したら、[SAML settings] ダイアログ ボックスが次のように表示されます。