Edge for Private Cloud phiên bản 4.19.01
Khi SAML được bật, người chính (người dùng giao diện người dùng Edge) sẽ yêu cầu quyền truy cập vào nhà cung cấp dịch vụ (SSO cạnh tranh). Sau đó, SSO của cạnh sẽ yêu cầu và nhận thông tin xác nhận danh tính từ danh tính SAML (IDP) và sử dụng câu nhận định đó để tạo mã thông báo OAuth2 cần thiết để truy cập vào giao diện người dùng Edge. Sau đó, người dùng được chuyển hướng đến giao diện người dùng Edge.
Edge hỗ trợ nhiều IDP (nhà cung cấp danh tính), bao gồm cả Okta và Microsoft Active Directory Federation Services (ADFS). Để biết thông tin về cách định cấu hình ADFS để sử dụng với Edge, hãy xem phần Định cấu hình Edge với tư cách là một Bên tin cậy trong ADFS IDP. Đối với Okta, hãy xem phần sau.
Để định cấu hình IDP SAML, Edge yêu cầu một địa chỉ email để nhận dạng người dùng. Do đó, nhà cung cấp danh tính phải trả về địa chỉ email trong quy trình xác nhận danh tính.
ngoài ra, bạn có thể yêu cầu một số hoặc tất cả các yêu cầu sau:
| Xem xét | Mô tả |
|---|---|
| URL siêu dữ liệu |
Nhà cung cấp danh tính (IDP) SAML có thể yêu cầu URL siêu dữ liệu của SSO của Edge. URL siêu dữ liệu nằm trong biểu mẫu: protocol://apigee_sso_IP_DNS:port/saml/metadata Ví dụ: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
| URL dịch vụ người tiêu dùng xác nhận |
Có thể dùng làm URL chuyển hướng quay lại Edge sau khi người dùng nhập IDP (nhà cung cấp danh tính) thông tin xác thực, ở dạng: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Ví dụ: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
|
URL đăng xuất duy nhất |
Bạn có thể định cấu hình SSO của cạnh để hỗ trợ tính năng đăng xuất một lần. Xem Định cấu hình tính năng đăng xuất một lần trong giao diện người dùng Edge để tìm hiểu thêm. URL đăng xuất một lần duy nhất SSO của Edge có dạng: protocol://apigee_sso_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Ví dụ: http://apigee_sso_IP_DNS:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
|
Mã nhận dạng thực thể SP (hoặc URI đối tượng) |
Đối với SSO của cạnh: apigee-saml-login-opdk |
Định cấu hình Okta
Cách định cấu hình Okta:
- Đăng nhập vào Okta.
- Chọn Ứng dụng, rồi chọn ứng dụng SAML.
- Chọn thẻ Bài tập để thêm mọi người dùng vào ứng dụng. Người dùng này có thể đăng nhập vào giao diện người dùng Edge và thực hiện lệnh gọi API Edge. Tuy nhiên, trước tiên, bạn phải thêm từng người dùng sang một tổ chức Edge và chỉ định vai trò của người dùng. Hãy xem phần Đăng ký người dùng mới của Edge để tìm hiểu thêm.
- Chọn thẻ Đăng nhập để lấy URL siêu dữ liệu của Nhà cung cấp danh tính. Cửa hàng URL đó vì bạn cần nó để định cấu hình Edge.
- Chọn thẻ General (Chung) để định cấu hình ứng dụng Okta, như minh hoạ trong bảng bên dưới:
| Xem xét | Mô tả |
|---|---|
| URL đăng nhập một lần | Chỉ định URL chuyển hướng quay lại Edge để sử dụng sau khi người dùng nhập Okta
thông tin xác thực. URL này có dạng:
http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Nếu bạn định bật TLS trên https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk Trong đó apigee_sso_IP_DNS là địa chỉ IP hoặc tên DNS của
nút lưu trữ Xin lưu ý rằng URL này phân biệt chữ hoa chữ thường và SSO phải hiển thị bằng chữ hoa. Nếu bạn có một trình cân bằng tải ở phía trước |
| Sử dụng thuộc tính này cho URL người nhận và URL đích | Đặt hộp đánh dấu này. |
| URI đối tượng (Mã thực thể SP) | Đặt thành apigee-saml-login-opdk |
| RelayState mặc định | Có thể để trống. |
| Định dạng mã tên | Hãy chỉ định EmailAddress. |
| Tên người dùng ứng dụng | Hãy chỉ định Okta username. |
| Tuyên bố thuộc tính (Không bắt buộc) | Chỉ định FirstName, LastName và
Email như trong hình ảnh dưới đây. |
Hộp thoại cài đặt SAML sẽ xuất hiện như bên dưới sau khi bạn hoàn tất:
