Edge UI での SAML の使用

Edge for Private Cloud v4.18.05

SAML 仕様では、次の 3 つのエンティティを定義しています。

  • プリンシパル(Edge UI ユーザー)
  • サービス プロバイダ(Edge SSO)
  • ID プロバイダ(SAML アサーションを返します)

SAML が有効な場合、プリンシパル(Edge UI ユーザー)がサービス プロバイダ(Edge SSO)にアクセスをリクエストします。すると、Edge SSO が(SAML サービス プロバイダとしての役割で)SAML ID プロバイダに ID アサーションをリクエストします。Edge SSO は SAML ID プロバイダから取得した ID アサーションを使用して、Edge UI にアクセスするために必要な OAuth2 トークンを作成します。トークンが作成されると、ユーザーは Edge UI にリダイレクトされます。

次の図に、このプロセスを示します。

上の図では、次のプロセスが行われています。

  1. ユーザーが Edge UI にアクセスするために、Edge UI のログイン URL に対してリクエストを行います(例: https://edge_ui_IP_DNS:9000)。
  2. 未認証のリクエストは SAML ID プロバイダにリダイレクトされます(例: https://idp.customer.com)。
  3. ユーザーがまだ ID プロバイダにログインしていない場合は、ログインするよう求められます。
  4. SAML ID プロバイダによってユーザーが認証されます。SAML ID プロバイダは SAML 2.0 アサーションを生成し、そのアサーションを Edge SSO に返します。
  5. Edge SSO がアサーションを検証し、アサーションからユーザー ID を抽出して Edge UI 用の OAuth 2 認証トークンを生成します。その後、ユーザーを次の場所にあるメイン Edge UI ページにリダイレクトします。
    https://edge_ui_IP_DNS:9000/platform/orgName

    ここで、orgName は Edge 組織の名前です。