SAML IDP を構成する

Edge for Private Cloud v4.18.05

SAML が有効な場合、プリンシパル（Edge UI ユーザー）がサービスプロバイダ（Edge SSO）にアクセスをリクエストします。すると、Edge SSO が SAML ID プロバイダ（IDP）に ID アサーションをリクエストします。Edge SSO は SAML ID プロバイダから取得した ID アサーションを使用して、Edge UI にアクセスするために必要な OAuth2 トークンを作成します。トークンが作成されると、ユーザーは Edge UI にリダイレクトされます。

Edge は、Okta や Microsoft Active Directory フェデレーションサービス（ADFS）を含む多くの IDP をサポートしています。Edge で使用するための ADFS の構成については、ADFS IDP での証明書利用者としての Edge の構成をご覧ください。Okta については、次のセクションをご覧ください。

SAML IDP を構成するには、ユーザーを識別するメールアドレスが必要です。したがって、ID プロバイダは、ID アサーションの一部としてメールアドレスを返す必要があります。

さらに、次の一部またはすべてが必要になる場合があります。

設定	説明
メタデータ URL	SAML IDP には Edge SSO のメタデータ URL が必要な場合があります。メタデータ URL の形式は次のとおりです。 `protocol`://`apigee_sso_IP_DNS`:`port`/saml/metadata 例: http://`apigee_sso_IP_or_DNS`:9099/saml/metadata
アサーションコンシューマサービス URL	ユーザーが IDP 認証情報を入力した後で、Edge へのリダイレクト URL として次の形式で使用できます。 `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SSO/alias/apigee-saml-login-opdk 例: http://`apigee_sso_IP_or_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk
シングルログアウトの URL	シングルログアウトをサポートするように Edge SSO を構成できます。詳しくは、Edge UI からのシングルログアウトを構成するをご覧ください。Edge SSO のシングルログアウトの URL の形式は次のとおりです。 `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SingleLogout/alias/apigee-saml-login-opdk 例: http://`apigee_sso_IP_DNS`:9099/saml/SingleLogout/alias/apigee-saml-login-opdk
SP エンティティ ID（またはオーディエンスの URI）	Edge SSO の場合は次のようになります。 apigee-saml-login-opdk 注: SP エンティティ ID として `apigee-saml-login-opdk` を使用する必要があります。これは変更できません。

Okta の構成

Okta を構成するには:

Okta にログインします。
[Applications] を選択し、SAML アプリケーションを選択します。
[Assignments] タブを選択して、ユーザーをアプリケーションに追加します。これらのユーザーは、Edge UI にログインして Edge API 呼び出しを行うことができます。ただし、最初に各ユーザーを Edge 組織に追加し、ユーザーの役割を指定する必要があります。詳細については、新しい Edge ユーザーを登録するをご覧ください。
[Sign on] タブを選択して、ID プロバイダのメタデータ URL を取得します。Edge を構成するために必要なので、その URL を保管してください。
下の表に示すように、[General] タブを選択して Okta アプリケーションを構成します。

設定	説明
Single sign on URL	ユーザーが Okta 認証情報を入力した後で使用する、Edge へのリダイレクト URL を指定します。この URL の形式は次のとおりです。 http://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk `apigee-sso` で TLS を有効にする場合は、次のようになります。 https://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk ここで、`apigee_sso_IP_DNS` は、`apigee-sso` をホストしているノードの IP アドレスまたは DNS 名です。この URL では大文字と小文字が区別され、SSO は大文字で表記する必要があります。 `apigee-sso` の前面にロードバランサが配置されている場合は、ロードバランサを通じて参照される `apigee-sso` の IP アドレスまたは DNS 名を指定します。
Use this for Recipient URL and Destination URL	このチェックボックスをオンにします。
Audience URI (SP Entity ID)	`apigee-saml-login-opdk` に設定します。
Default RelayState	空白のままにできます。
Name ID format	`EmailAddress` を指定します。
Application username	`Okta username` を指定します。
Attribute Statements (Optional)	下の画像に示すように、`FirstName`、`LastName`、`Email` を指定します。

完了したら、[SAML settings] ダイアログボックスが次のように表示されます。