SAML IDP を構成する

SAML の仕様では、次の 3 つのエンティティが定義されています。

  • プリンシパル(Edge UI ユーザー)
  • サービス プロバイダ(Apigee SSO)
  • ID プロバイダ(SAML アサーションを返す)

SAML が有効になっている場合、プリンシパル(Edge UI ユーザー)はサービス プロバイダ(Apigee SSO)へのアクセスをリクエストします。Apigee SSO(SAML サービス プロバイダとしての役割で)は、SAML IDP に ID アサーションをリクエストして取得し、そのアサーションを使用して Edge UI へのアクセスに必要な OAuth2 トークンを作成します。その後、ユーザーは Edge UI にリダイレクトされます。

このプロセスを以下に示します。

図の説明:

  1. ユーザーが Edge UI へのアクセスを試みるには、Edge UI のログイン URL にリクエストを送信します。例: https://edge_ui_IP_DNS:9000
  2. 未認証のリクエストは SAML IDP にリダイレクトされます。(例: https://idp.customer.com)。
  3. ユーザーが ID プロバイダにログインしていない場合は、ログインするように求められます。
  4. ユーザーがログインします。
  5. ユーザーは SAML IDP によって認証されます。SAML IDP は SAML 2.0 アサーションを生成して Apigee SSO に返します。
  6. Apigee SSO がアサーションを検証し、アサーションからユーザー ID を抽出して Edge UI 用の OAuth 2 認証トークンを生成します。その後、ユーザーを次のメイン Edge UI ページ(
    https://edge_ui_IP_DNS:9000/platform/orgName
    )にリダイレクトします。

    ここで、orgName は Edge 組織の名前です。

Edge は、Okta や Microsoft Active Directory フェデレーション サービス(ADFS)など、多くの IDP をサポートしています。Edge で使用するように ADFS を構成する方法については、ADFS IDP の証明書利用者としての Edge の構成をご覧ください。Okta については、次のセクションをご覧ください。

SAML IDP を構成するには、ユーザーを識別するためのメールアドレスが Edge に必要です。したがって、ID プロバイダは ID アサーションの一部としてメールアドレスを返す必要があります。

さらに、以下の一部またはすべてが必要になる場合があります。

設定 説明
メタデータ URL

SAML IDP には Apigee SSO のメタデータ URL が必要になる場合があります。メタデータ URL の形式は次のとおりです。

protocol://apigee_sso_IP_DNS:port/saml/metadata

例:

http://apigee_sso_IP_or_DNS:9099/saml/metadata
Assertion Consumer Service の URL

ユーザーが次の形式の IDP 認証情報を入力した後、Edge へのリダイレクト URL として使用できます。

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

例:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

シングル ログアウト URL

シングル ログアウトをサポートするように Apigee SSO を構成できます。詳しくは、Edge UI からのシングル ログアウトを構成するをご覧ください。Apigee SSO のシングル ログアウト URL の形式は次のとおりです。

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

例:

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

SP エンティティ ID(またはオーディエンス URI)

Apigee SSO の場合:

apigee-saml-login-opdk

Okta の構成

Okta を構成するには:

  1. Okta にログインします。
  2. [Applications] を選択し、SAML アプリケーションを選択します。
  3. [Assignments] タブを選択し、アプリケーションにユーザーを追加します。これらのユーザーは、Edge UI にログインして Edge API を呼び出すことができます。ただし、まず各ユーザーを Edge 組織に追加し、ユーザーのロールを指定する必要があります。詳細については、新しい Edge ユーザーを登録するをご覧ください。
  4. [Sign on] タブを選択して、ID プロバイダのメタデータ URL を取得します。この URL は Edge の構成時に必要になるため、保存します。
  5. [General] タブを選択して、Okta アプリケーションを構成します。次の表をご覧ください。
    設定 説明
    シングル サインオン URL ユーザーが Okta 認証情報を入力した後に使用する、Edge へのリダイレクト URL を指定します。この URL の形式は、
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
    です。

    apigee-sso で TLS を有効にする場合:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    ここで、apigee_sso_IP_DNS は、apigee-sso をホストするノードの IP アドレスまたは DNS 名です。

    この URL では大文字と小文字が区別されます。SSO は大文字で表記する必要があります。

    apigee-sso の前にロードバランサがある場合は、ロードバランサを介して参照される apigee-sso の IP アドレスまたは DNS 名を指定します。

    受信者 URL とリンク先 URL に使用 このチェックボックスをオンにします。
    オーディエンス URI(SP Entity ID) apigee-saml-login-opdk に設定
    デフォルトの RelayState 空欄でもかまいません。
    名前 ID の形式 EmailAddress を指定します。
    アプリケーションのユーザー名 Okta username を指定します。
    属性ステートメント(省略可) 次の画像に示すように、FirstNameLastNameEmail を指定します。

完了すると、SAML 設定ダイアログ ボックスが次のように表示されます。