Edge для частного облака v4.19.01
Когда SAML включен, субъект (пользователь Edge UI) запрашивает доступ к поставщику услуг (Edge SSO). Затем Edge SSO запрашивает и получает подтверждение идентификации от поставщика удостоверений SAML (IDP) и использует это утверждение для создания токена OAuth2, необходимого для доступа к пользовательскому интерфейсу Edge. Затем пользователь перенаправляется в пользовательский интерфейс Edge.
Edge поддерживает множество IDP, включая Okta и службы федерации Microsoft Active Directory (ADFS). Сведения о настройке ADFS для использования с Edge см. в разделе Настройка Edge в качестве проверяющей стороны в ADFS IDP . Информацию об Okta см. в следующем разделе.
Чтобы настроить SAML IDP, Edge требуется адрес электронной почты для идентификации пользователя. Таким образом, поставщик удостоверений должен вернуть адрес электронной почты как часть подтверждения личности.
Кроме того, вам могут потребоваться некоторые или все из следующего:
Параметр | Описание |
---|---|
URL-адрес метаданных | SAML IDP может потребоваться URL-адрес метаданных Edge SSO. URL-адрес метаданных имеет вид: protocol://apigee_sso_IP_DNS:port/saml/metadata Например: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
URL-адрес службы обработки утверждений | Может использоваться в качестве URL-адреса перенаправления обратно в Edge после того, как пользователь вводит свои учетные данные IDP, в форме: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Например: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
Единый URL-адрес выхода из системы | Вы можете настроить Edge SSO для поддержки единого выхода из системы. Дополнительные сведения см. в разделе Настройка единого выхода из пользовательского интерфейса Edge . URL-адрес единого входа Edge SSO имеет форму: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Например: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
Идентификатор объекта SP (или URI аудитории). | Для Edge SSO: apigee-saml-login-opdk |
Настройка Окты
Чтобы настроить Окту:
- Войдите в Окту.
- Выберите «Приложения» , а затем выберите свое приложение SAML.
- Выберите вкладку «Назначения» , чтобы добавить в приложение всех пользователей. Эти пользователи смогут войти в пользовательский интерфейс Edge и выполнить вызовы API Edge. Однако сначала необходимо добавить каждого пользователя в организацию Edge и указать роль пользователя. Дополнительную информацию см. в разделе Регистрация новых пользователей Edge .
- Выберите вкладку «Войти» , чтобы получить URL-адрес метаданных поставщика удостоверений. Сохраните этот URL-адрес, поскольку он понадобится вам для настройки Edge.
- Выберите вкладку «Общие» , чтобы настроить приложение Okta, как показано в таблице ниже:
Параметр | Описание |
---|---|
Единый вход по URL | Указывает URL-адрес перенаправления обратно в Edge для использования после того, как пользователь вводит свои учетные данные Okta. Этот URL-адрес имеет форму: http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Если вы планируете включить TLS на https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Где apigee_sso_IP_DNS — это IP-адрес или DNS-имя узла, на котором размещен Обратите внимание, что этот URL-адрес чувствителен к регистру, а система единого входа должна указываться заглавными буквами. Если у вас есть балансировщик нагрузки перед |
Используйте это для URL-адреса получателя и URL-адреса назначения. | Установите этот флажок. |
URI аудитории (идентификатор объекта SP) | Установите apigee-saml-login-opdk |
Состояние реле по умолчанию | Можно оставить пустым. |
Формат идентификатора имени | Укажите EmailAddress . |
Имя пользователя приложения | Укажите Okta username . |
Заявления об атрибутах (необязательно) | Укажите FirstName , LastName и Email , как показано на рисунке ниже. |
После завершения должно появиться диалоговое окно настроек SAML, как показано ниже: