Se usó la API de Cloud Translation para traducir esta página.

Configura tu IdP de SAML

La especificación SAML define tres entidades:

Principal (usuario de IU de Edge)
Proveedor de servicios (SSO de Apigee)
Proveedor de identidad (muestra la aserción de SAML)

Cuando se habilita SAML, la principal (un usuario de la IU de Edge) solicita acceso al proveedor de servicios (SSO de Apigee). El SSO de Apigee (en su función como proveedor de servicios de SAML) solicita y obtiene una aserción de identidad del IDP de SAML y la usa para crear el token OAuth2 necesario para acceder a la IU de Edge. Luego, se redirecciona al usuario a la IU de Edge.

Este proceso se muestra a continuación:

En este diagrama, se ilustra lo siguiente:

El usuario intenta acceder a la IU de Edge mediante una solicitud a la URL de acceso de la IU de Edge. Por ejemplo: https://edge_ui_IP_DNS:9000
Las solicitudes no autenticadas se redireccionan al IdP de SAML. Por ejemplo, "https://idp.customer.com".
Si el usuario no accedió al proveedor de identidad, se le solicitará que lo haga.
El usuario accede.
El IdP de SAML autentica al usuario, que genera una aserción de SAML 2.0 y la muestra en el SSO de Apigee.
El SSO de Apigee valida la aserción, extrae la identidad del usuario de la aserción, genera el token de autenticación de OAuth 2 para la IU de Edge y redirecciona al usuario a la página principal de la IU de Edge en la siguiente URL:
```
https://edge_ui_IP_DNS:9000/platform/orgName
```
En el ejemplo anterior, orgName es el nombre de una organización de Edge.

Edge admite muchos IdP, incluidos Okta y Microsoft Active Directory Federation Services (ADFS). Si deseas obtener información sobre cómo configurar ADFS para su uso con Edge, consulta Configura Edge como parte de confianza en IdP de ADFS. Para Okta, consulta la siguiente sección.

A fin de configurar tu IdP de SAML, Edge requiere una dirección de correo electrónico para identificar al usuario. Por lo tanto, el proveedor de identidad debe mostrar una dirección de correo electrónico como parte de la aserción de identidad.

Además, es posible que debas hacer algunos de los siguientes pasos o todos ellos:

Parámetro de configuración	Descripción
URL de metadatos	Es posible que el IdP de SAML requiera la URL de metadatos del SSO de Apigee. La URL de metadatos tiene el siguiente formato: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/metadata Por ejemplo: http://`apigee_sso_IP_or_DNS`:9099/saml/metadata
URL del servicio de confirmación del consumidor	Se puede usar como la URL de redireccionamiento a Edge después de que el usuario ingresa sus credenciales de IdP, con el siguiente formato: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SSO/alias/apigee-saml-login-opdk Por ejemplo: http://`apigee_sso_IP_or_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk
URL de salida única	Puedes configurar el SSO de Apigee para admitir el cierre de sesión único. Consulta Configura el cierre de sesión único desde la IU de Edge para obtener más información. La URL de salida única del SSO de Apigee tiene el siguiente formato: `protocol`://`apigee_SSO_IP_DNS`:`port`/saml/SingleLogout/alias/apigee-saml-login-opdk Por ejemplo: http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk
El ID de entidad del SP (o URI del público)	Para el SSO de Apigee: apigee-saml-login-opdk Nota: Consulta también el siguiente artículo de la comunidad: ¿Puedo usar una string arbitraria como ID de entidad del SP mientras configuro el SSO de Apigee Edge?.

Cómo configurar Okta

Para configurar Okta, haz lo siguiente:

Accede a Okta.
Selecciona Aplicaciones y, luego, tu aplicación de SAML.
Selecciona la pestaña Asignaciones para agregar usuarios a la aplicación. Estos usuarios podrán acceder a la IU de Edge y realizar llamadas a la API de Edge. Sin embargo, primero debes agregar cada usuario a una organización de Edge y especificar el rol del usuario. Consulta Registra usuarios nuevos de Edge para obtener más información.
Selecciona la pestaña Acceder para obtener la URL de metadatos del proveedor de identidad. Almacena esa URL porque la necesitas para configurar Edge.

Selecciona la pestaña General para configurar la aplicación de Okta, como se muestra en la siguiente tabla:

Parámetro de configuración	Descripción
URL de inicio de sesión único	Especifica la URL de redireccionamiento a Edge para su uso después de que el usuario ingresa sus credenciales de Okta. Esta URL tiene el siguiente formato: http://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk Si planeas habilitar TLS en `apigee-sso`, haz lo siguiente: https://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk En el ejemplo anterior, `apigee_sso_IP_DNS` es la dirección IP o el nombre de DNS del nodo que aloja `apigee-sso`. Ten en cuenta que esta URL distingue mayúsculas de minúsculas, y el SSO debe aparecer en mayúsculas. Si tienes un balanceador de cargas frente a `apigee-sso`,especifica la dirección IP o el nombre de DNS de `apigee-sso` como se hace referencia a través del balanceador de cargas.
Use esto para la URL del destinatario y la URL de destino	Marca esta casilla de verificación.
URI de público (ID de entidad del SP)	Se estableció en `apigee-saml-login-opdk`
Estado de retransmisión predeterminado	Se puede dejar en blanco.
Formato del ID del nombre	Especifica `EmailAddress`.
Nombre de usuario de la aplicación	Especifica `Okta username`.
Declaraciones de atributos (opcional)	Especifica `FirstName`, `LastName` y `Email` como se muestra en la siguiente imagen.

Cuando termines, el cuadro de diálogo de la configuración de SAML debería aparecer como se muestra a continuación: