Edge for Private Cloud v4.19.01
Lorsque SAML est activé, le compte principal (un utilisateur de l'interface utilisateur Edge) demande l'accès au fournisseur de services (authentification unique Edge). Edge SSO demande ensuite et obtient une assertion d'identité de la part du fournisseur d'identité SAML (IDP) et utilise cette assertion pour créer le jeton OAuth2 requis pour accéder à l'interface utilisateur Edge. L'utilisateur est ensuite redirigé vers l'interface utilisateur Edge.
Edge est compatible avec de nombreux IdP, y compris Okta et les services de fédération Microsoft Active Directory (ADFS). Pour plus d'informations sur la configuration d'ADFS pour une utilisation avec Edge, consultez la page Configurer Edge en tant que partie de confiance dans ADFS IDP. Pour Okta, consultez la section suivante.
Pour configurer votre IdP SAML, Edge a besoin d'une adresse e-mail pour identifier l'utilisateur. Par conséquent, le fournisseur d'identité doit renvoyer une adresse e-mail dans l'assertion d'identité.
En outre, vous aurez peut-être besoin de tout ou partie des éléments suivants:
Paramètre | Description |
---|---|
URL des métadonnées |
L'IdP SAML peut nécessiter l'URL de métadonnées de Edge SSO. L'URL des métadonnées se présente sous la forme suivante: protocol://apigee_sso_IP_DNS:port/saml/metadata Exemple : http://apigee_sso_IP_or_DNS:9099/saml/metadata |
Assertion Consumer Service URL (URL du service ACS) |
Peut être utilisée comme URL de redirection vers Edge après que l'utilisateur a saisi ses identifiants de fournisseur d'identité, sous la forme: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Exemple : http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
URL de déconnexion unique |
Vous pouvez configurer l'authentification unique Edge pour qu'elle prenne en charge la déconnexion unique. Pour plus d'informations, consultez la section Configurer la déconnexion unique à partir de l'interface utilisateur Edge. L'URL de déconnexion unique de l'authentification unique Edge se présente sous la forme suivante: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Exemple : http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
ID d'entité du fournisseur de services (ou URI d'audience) |
Pour l'authentification unique Edge: apigee-saml-login-opdk |
Configurer Okta
Pour configurer Okta:
- Connectez-vous à Okta.
- Sélectionnez Applications, puis votre application SAML.
- Sélectionnez l'onglet Assignments (Attributions) pour ajouter des utilisateurs à l'application. Ces utilisateurs pourront se connecter à l'interface utilisateur Edge et effectuer des appels d'API Edge. Cependant, vous devez d'abord ajouter chaque utilisateur à une organisation Edge et spécifier le rôle de l'utilisateur. Pour en savoir plus, consultez la section Enregistrer de nouveaux utilisateurs Edge.
- Sélectionnez l'onglet Sign on (Connexion) pour obtenir l'URL des métadonnées du fournisseur d'identité. Stockez cette URL, car vous en aurez besoin pour configurer Edge.
- Sélectionnez l'onglet General (Général) pour configurer l'application Okta, comme indiqué dans le tableau ci-dessous:
Paramètre | Description |
---|---|
URL d'authentification unique | Spécifie l'URL de redirection vers Edge à utiliser après la saisie de ses informations d'identification Okta. Cette URL se présente au format suivant : http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Si vous prévoyez d'activer le protocole TLS sur https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Où apigee_sso_IP_DNS est l'adresse IP ou le nom DNS du nœud hébergeant Notez que cette URL est sensible à la casse et que l'authentification unique doit apparaître en majuscules. Si vous disposez d'un équilibreur de charge devant |
Utilisez ce champ pour l'URL du destinataire et l'URL de destination | Cochez cette case. |
URI d'audience (ID d'entité du fournisseur de services) | Définir sur apigee-saml-login-opdk |
Default RelayState | Ce champ peut être laissé vide. |
Format de l'ID du nom | Spécifiez EmailAddress . |
Nom d'utilisateur de l'application | Spécifiez Okta username . |
Instructions d'attribut (facultatif) | Spécifiez FirstName , LastName et Email comme illustré dans l'image ci-dessous. |
Une fois que vous avez terminé, la boîte de dialogue des paramètres SAML doit s'afficher comme suit: