Edge per Private Cloud v4.19.01
Quando SAML è abilitato, l'entità (un utente dell'interfaccia utente perimetrale) richiede l'accesso al fornitore di servizi (SSO Edge). L'accesso SSO perimetrale richiede quindi e ottiene un'asserzione dell'identità dall'identità SAML provider (IDP) e la utilizza per creare il token OAuth2 necessario per accedere alla UI Edge. L'utente viene quindi reindirizzato alla UI Edge.
Edge supporta molti IdP, tra cui Okta e Microsoft Active Directory Federation Services (ADFS). Per informazioni sulla configurazione di ADFS per l'utilizzo con Edge, consulta Configurazione Edge come parte di riferimento in ADFS IDP. Per Okta, consulta la sezione seguente.
Per configurare il tuo IdP SAML, Edge richiede un indirizzo email per identificare l'utente. Pertanto, Il provider di identità deve restituire un indirizzo email come parte dell'asserzione dell'identità.
Inoltre, potrebbero essere necessari alcuni o tutti i seguenti elementi:
| Impostazione | Descrizione |
|---|---|
| URL dei metadati |
L'IdP SAML potrebbe richiedere l'URL dei metadati dell'accesso SSO perimetrale. L'URL dei metadati si trova modulo: protocol://apigee_sso_IP_DNS:port/saml/metadata Ad esempio: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
| URL Assertion Consumer Service |
Può essere utilizzato come URL di reindirizzamento a Edge dopo che l'utente ha inserito il proprio IdP credenziali, nel formato protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Ad esempio: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
|
URL di uscita singolo |
Puoi configurare il servizio SSO perimetrale in modo che supporti la disconnessione singola. Consulta Configurare il Single Sign-out dalla UI Edge per saperne di più. L'URL di disconnessione singola SSO Edge ha il seguente formato: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Ad esempio: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
|
ID entità SP (o URI Audience) |
Per SSO Edge: apigee-saml-login-opdk |
Configurazione di Okta
Per configurare Okta:
- Accedi a Okta.
- Seleziona Applications (Applicazioni) e scegli l'applicazione SAML.
- Seleziona la scheda Compiti per aggiungere utenti all'applicazione. Questi utenti potrà accedere alla UI di Edge ed effettuare chiamate API Edge. Tuttavia, devi prima aggiungere ogni a un'organizzazione Edge e specificare il suo ruolo. Per ulteriori informazioni, consulta Registrare nuovi utenti Edge.
- Seleziona la scheda Sign on (Accesso) per ottenere l'URL dei metadati del provider di identità. Negozio perché ti serve per configurare Edge.
- Seleziona la scheda General (Generale) per configurare l'applicazione Okta, come mostrato in riportata di seguito:
| Impostazione | Descrizione |
|---|---|
| URL Single Sign-On | Specifica l'URL di reindirizzamento a Edge da usare dopo che l'utente ha inserito il proprio Okta
e credenziali. Questo URL ha questo formato:
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Se prevedi di attivare TLS su https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Dove apigee_sso_IP_DNS è l'indirizzo IP o il nome DNS del
che ospita Tieni presente che questo URL fa distinzione tra maiuscole e minuscole e SSO deve essere indicato in maiuscolo. Se hai un bilanciatore del carico davanti a |
| Utilizza questo parametro per URL destinatario e URL di destinazione | Imposta questa casella di controllo. |
| URI Audience (ID entità SP) | Metodo impostato: apigee-saml-login-opdk |
| RelayState predefinito | Può lasciare vuoto. |
| Formato dell'ID nome | Specifica EmailAddress. |
| Nome utente applicazione | Specifica Okta username. |
| Dichiarazioni degli attributi (facoltative) | Specifica FirstName, LastName e
Email come mostrato nell'immagine di seguito. |
Al termine, la finestra di dialogo delle impostazioni SAML dovrebbe essere visualizzata come segue:
