私有雲 v4.18.05 的邊緣
啟用 SAML 後,主體 (Edge UI 使用者) 就會要求存取服務供應商 (Edge SSO)。接著,Edge SSO 會要求並取得 SAML 識別資訊提供者 (IDP) 的身分宣告,並使用該宣告來建立存取 Edge UI 所需的 OAuth2 權杖。接著,系統會將使用者重新導向至 Edge UI。
Edge 支援許多 IDP,包括 Okta 和 Microsoft Active Directory 同盟服務 (ADFS)。如要瞭解如何設定 ADFS 以與 Edge 搭配使用,請參閱「在 ADFS IDP 中將 Edge 設為 Relying Party」。如果是 Okta,請參閱下一節。
Edge 必須提供電子郵件地址才能識別使用者,才能設定 SAML IDP。因此,識別資訊提供者必須在身分斷言中傳回電子郵件地址。
此外,您可能還需要下列部分或所有要求:
| 設定 | 說明 |
|---|---|
| 中繼資料網址 |
SAML IDP 可能會要求 Edge SSO 的中繼資料網址。中繼資料網址的格式為: protocol://apigee_sso_IP_DNS:port/saml/metadata 例如: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
| Assertion Consumer Service URL (宣告客戶服務網址) |
使用者輸入自己的 IdP 憑證後,可做為重新導向網址,使用,格式如下: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk 例如: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
|
單一登出網址 |
您可以將 Edge SSO 設為支援單一登出功能。詳情請參閱「透過 Edge UI 設定單一登入功能」一文。Edge SSO 單一登出網址格式如下: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk 例如: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
|
SP 實體 ID (或目標對象 URI) |
邊緣單一登入 (SSO): apigee-saml-login-opdk |
設定 Okta
如要設定 Okta:
- 登入 Okta。
- 選取「Applications」,然後選取 SAML 應用程式。
- 選取「Assignments」分頁標籤,將任何使用者新增至應用程式。這些使用者將可登入 Edge UI 並發出 Edge API 呼叫。不過,您必須先將每位使用者新增至 Edge 機構,並指定該使用者的角色。詳情請參閱「註冊新的 Edge 使用者」。
- 選取「Sign on」分頁標籤,取得識別資訊提供者中繼資料網址。您必須儲存該網址,才能設定 Edge。
- 選取「General」分頁標籤以設定 Okta 應用程式,如下表所示:
| 設定 | 說明 |
|---|---|
| 網址單一登入 | 將重新導向網址指定回 Edge,以供使用者輸入 Okta 憑證後使用。網址的格式如下:
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk 如果您打算在 https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk 其中 apigee_sso_IP_DNS 是託管 請注意,這個網址會區分大小寫,且 SSO 必須以大寫開頭。 如果負載平衡器位於 |
| 用於收件者網址和到達網頁網址 | 請勾選這個核取方塊。 |
| 目標對象 URI (SP 實體 ID) | 設為「apigee-saml-login-opdk」 |
| 預設 RelayState | 可留空。 |
| 名稱 ID 格式 | 請指定 EmailAddress。 |
| 應用程式使用者名稱 | 請指定 Okta username。 |
| 屬性陳述式 (選用) | 指定 FirstName、LastName 和 Email,如下圖所示。 |
完成後,SAML 設定對話方塊會如下所示:
