SAML IDP を構成する

Edge for Private Cloud v4.18.05

SAML が有効になっている場合、プリンシパル(Edge UI ユーザー)はサービス プロバイダ(Edge SSO)へのアクセスをリクエストします。Edge SSO は SAML ID プロバイダ(IDP)に ID アサーションをリクエストして取得し、そのアサーションを使用して Edge UI へのアクセスに必要な OAuth2 トークンを作成します。その後、ユーザーは Edge UI にリダイレクトされます。

Edge は、Okta や Microsoft Active Directory フェデレーション サービス(ADFS)など、多くの IDP をサポートしています。Edge で使用するように ADFS を構成する方法については、ADFS IDP の証明書利用者としての Edge の構成をご覧ください。Okta については、次のセクションをご覧ください。

SAML IDP を構成するには、ユーザーを識別するためのメールアドレスが Edge に必要です。したがって、ID プロバイダは ID アサーションの一部としてメールアドレスを返す必要があります。

さらに、以下の一部またはすべてが必要になる場合があります。

設定 説明
メタデータ URL

SAML IDP では、Edge SSO のメタデータ URL が必要になる場合があります。メタデータ URL の形式は次のとおりです。

protocol://apigee_sso_IP_DNS:port/saml/metadata

例:

http://apigee_sso_IP_or_DNS:9099/saml/metadata
Assertion Consumer Service の URL

ユーザーが次の形式の IDP 認証情報を入力した後、Edge へのリダイレクト URL として使用できます。

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

例:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

シングル ログアウト URL

シングル ログアウトをサポートするように Edge SSO を構成できます。詳しくは、Edge UI からのシングル ログアウトを構成するをご覧ください。Edge SSO のシングル ログアウト URL の形式は次のとおりです。

protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

例:

http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

SP エンティティ ID(またはオーディエンス URI)

Edge SSO の場合:

apigee-saml-login-opdk

Okta の構成

Okta を構成するには:

  1. Okta にログインします。
  2. [Applications] を選択し、SAML アプリケーションを選択します。
  3. [Assignments] タブを選択し、アプリケーションにユーザーを追加します。これらのユーザーは、Edge UI にログインして Edge API を呼び出すことができます。ただし、最初に各ユーザーを Edge 組織に追加し、ユーザーのロールを指定する必要があります。詳細については、新しい Edge ユーザーを登録するをご覧ください。
  4. [Sign on] タブを選択して、ID プロバイダのメタデータ URL を取得します。この URL は Edge の構成時に必要になるため、保存します。
  5. [General] タブを選択し、次の表に示すように Okta アプリケーションを構成します。
設定 説明
シングル サインオン URL ユーザーが Okta 認証情報を入力した後に使用する、Edge へのリダイレクト URL を指定します。この URL の形式は、
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
です。

apigee-sso で TLS を有効にする場合:

https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

ここで、apigee_sso_IP_DNS は、apigee-sso をホストするノードの IP アドレスまたは DNS 名です。

この URL では大文字と小文字が区別されます。SSO は大文字で表記する必要があります。

apigee-sso の前にロードバランサがある場合は、ロードバランサを介して参照される apigee-sso の IP アドレスまたは DNS 名を指定します。

受信者 URL とリンク先 URL に使用 このチェックボックスをオンにします。
オーディエンス URI(SP Entity ID) apigee-saml-login-opdk に設定
デフォルトの RelayState 空欄でもかまいません。
名前 ID の形式 EmailAddress を指定します。
アプリケーションのユーザー名 Okta username を指定します。
属性ステートメント(省略可) 次の画像に示すように、FirstNameLastNameEmail を指定します。

完了すると、SAML 設定ダイアログ ボックスが次のように表示されます。