Edge for Private Cloud v4.18.05
SAML が有効な場合、プリンシパル(Edge UI ユーザー)がサービス プロバイダ(Edge SSO)にアクセスをリクエストします。すると、Edge SSO が SAML ID プロバイダ(IDP)に ID アサーションをリクエストします。Edge SSO は SAML ID プロバイダから取得した ID アサーションを使用して、Edge UI にアクセスするために必要な OAuth2 トークンを作成します。トークンが作成されると、ユーザーは Edge UI にリダイレクトされます。
Edge は、Okta や Microsoft Active Directory フェデレーション サービス(ADFS)を含む多くの IDP をサポートしています。Edge で使用するための ADFS の構成については、ADFS IDP での証明書利用者としての Edge の構成をご覧ください。Okta については、次のセクションをご覧ください。
SAML IDP を構成するには、ユーザーを識別するメールアドレスが必要です。したがって、ID プロバイダは、ID アサーションの一部としてメールアドレスを返す必要があります。
さらに、次の一部またはすべてが必要になる場合があります。
設定 | 説明 |
---|---|
メタデータ URL |
SAML IDP には Edge SSO のメタデータ URL が必要な場合があります。メタデータ URL の形式は次のとおりです。 protocol://apigee_sso_IP_DNS:port/saml/metadata 例: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
アサーション コンシューマ サービス URL |
ユーザーが IDP 認証情報を入力した後で、Edge へのリダイレクト URL として次の形式で使用できます。 protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk 例: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
シングル ログアウトの URL |
シングル ログアウトをサポートするように Edge SSO を構成できます。詳しくは、Edge UI からのシングル ログアウトを構成するをご覧ください。Edge SSO のシングル ログアウトの URL の形式は次のとおりです。 protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk 例: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
SP エンティティ ID(またはオーディエンスの URI) |
Edge SSO の場合は次のようになります。 apigee-saml-login-opdk |
Okta の構成
Okta を構成するには:
- Okta にログインします。
- [Applications] を選択し、SAML アプリケーションを選択します。
- [Assignments] タブを選択して、ユーザーをアプリケーションに追加します。これらのユーザーは、Edge UI にログインして Edge API 呼び出しを行うことができます。ただし、最初に各ユーザーを Edge 組織に追加し、ユーザーの役割を指定する必要があります。詳細については、新しい Edge ユーザーを登録するをご覧ください。
- [Sign on] タブを選択して、ID プロバイダのメタデータ URL を取得します。Edge を構成するために必要なので、その URL を保管してください。
- 下の表に示すように、[General] タブを選択して Okta アプリケーションを構成します。
設定 | 説明 |
---|---|
Single sign on URL | ユーザーが Okta 認証情報を入力した後で使用する、Edge へのリダイレクト URL を指定します。この URL の形式は次のとおりです。
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk ここで、apigee_sso_IP_DNS は、 この URL では大文字と小文字が区別され、SSO は大文字で表記する必要があります。
|
Use this for Recipient URL and Destination URL | このチェックボックスをオンにします。 |
Audience URI (SP Entity ID) | apigee-saml-login-opdk に設定します。 |
Default RelayState | 空白のままにできます。 |
Name ID format | EmailAddress を指定します。 |
Application username | Okta username を指定します。 |
Attribute Statements (Optional) | 下の画像に示すように、FirstName 、LastName 、Email を指定します。 |
完了したら、[SAML settings] ダイアログ ボックスが次のように表示されます。