このページは Cloud Translation API によって翻訳されました。

SAML IDP を構成する

Edge for Private Cloud v4.18.05

SAML が有効な場合、プリンシパル（Edge UI ユーザー）がサービスプロバイダへのアクセスをリクエストする（Edge SSO）。その後、Edge SSO が SAML ID に ID アサーションをリクエストして取得します。プロバイダ（IDP）であり、そのアサーションを使用して、Edge UI へのアクセスに必要な OAuth2 トークンを作成します。その後、ユーザーは Edge UI にリダイレクトされます。

Edge は Okta や Microsoft Active Directory フェデレーションサービスなど、多くの IDP をサポート（ADFS）。Edge で使用するための ADFS の構成については、 ADFS IDP の証明書利用者としての Edge。Okta については、次のセクションをご覧ください。

SAML IDP を構成するには、ユーザーを識別するためのメールアドレスが Edge に必要です。したがって、 ID プロバイダは、ID アサーションの一部としてメールアドレスを返す必要があります。

さらに、以下の一部またはすべてが必要になる場合があります。

設定	説明
メタデータの URL	SAML IDP では、Edge SSO のメタデータ URL が必要になる場合があります。メタデータの URL は、フォーム: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/metadata 例: http://`apigee_sso_IP_or_DNS`:9099/saml/metadata
Assertion Consumer Service URL	ユーザーが IDP を入力した後、Edge へのリダイレクト URL として使用できる次の形式になります。 `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SSO/alias/apigee-saml-login-opdk 例: http://`apigee_sso_IP_or_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk
シングルログアウト URL	シングルログアウトをサポートするように Edge SSO を構成できます。詳しくは、 Edge UI からのシングルログアウトを構成するをご覧ください。Edge SSO のシングルログアウト URL の形式は次のとおりです。 `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SingleLogout/alias/apigee-saml-login-opdk 例: http://`apigee_sso_IP_DNS`:9099/saml/SingleLogout/alias/apigee-saml-login-opdk
SP エンティティ ID（またはオーディエンス URI）	Edge SSO の場合: apigee-saml-login-opdk 注: `apigee-saml-login-opdk` を SPI エンティティ ID。これは変更できません。

Okta の構成

Okta を構成するには:

Okta にログインします。
[Applications] を選択し、SAML アプリケーションを選択します。
[Assignments] タブを選択して、任意のユーザーをアプリケーションに追加します。これらのユーザーは Edge UI にログインして、Edge API 呼び出しを行うことができます。ただし、事前にユーザーのロールを指定します。詳細については、新しい Edge ユーザーを登録するをご覧ください。
[Sign on] タブを選択して、ID プロバイダのメタデータ URL を取得します。保存この URL は Edge の構成に必要になるためです。
[General] タブを選択し、次に示すように Okta アプリケーションを構成します。下表:

設定	説明
シングルサインオン URL	ユーザーが Okta を入力した後に使用する Edge へのリダイレクト URL を指定します。認証情報を取得できます。URL の形式は次のとおりです。 http://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk `apigee-sso` で TLS を有効にする場合: https://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk ここで、`apigee_sso_IP_DNS` はインスタンスの IP アドレスまたは DNS 名です。 `apigee-sso` をホストしているノード。この URL では大文字と小文字が区別され、SSO は大文字で表記する必要があります。 `apigee-sso` の前にロードバランサがある場合は、IP を指定します。参照される `apigee-sso` のアドレスまたは DNS 名ロードバランサを介してアクセスします
受信者の URL とリンク先 URL に使用	このチェックボックスをオンにします。
オーディエンス URI（SP エンティティ ID）	`apigee-saml-login-opdk` に設定
デフォルトの RelayState	空白のままで構いません。
名前 ID の形式	`EmailAddress` を指定します。
アプリケーションユーザー名	`Okta username` を指定します。
属性ステートメント（省略可）	`FirstName`、`LastName`、 `Email` を使用します。

完了すると、SAML 設定ダイアログボックスが次のように表示されます。