SAML IDP を構成する

SAML の仕様では、次の 3 つのエンティティが定義されています。

  • プリンシパル(Edge UI ユーザー)
  • サービス プロバイダ(Apigee SSO)
  • ID プロバイダ(SAML アサーションを返します)

SAML が有効な場合、プリンシパル(Edge UI ユーザー)がサービス プロバイダ(Apigee SSO)にアクセスをリクエストします。Apigee SSO はそれを受けて(SAML サービス プロバイダとしてのロールで)SAML IDP に ID アサーションをリクエストし、これを取得します。さらに、そのアサーションを使用して、Edge UI へのアクセスに必要な OAuth2 トークンを作成します。その後、ユーザーは Edge UI にリダイレクトされます。

このプロセスは次のとおりです。

処理の説明:

  1. ユーザーが Edge UI のログイン URL にリクエストして、Edge UI にアクセスしようとします。例: https://edge_ui_IP_DNS:9000
  2. 未認証リクエストは SAML IDP にリダイレクトされます。例: https://idp.customer.com。
  3. ユーザーが ID プロバイダにログインしていない場合は、ログインするよう求められます。
  4. ユーザーがログインしたとき。
  5. ユーザーは SAML IDP によって認証されます。SAML IDP は SAML 2.0 アサーションを生成し、それを Apigee SSO に返します。
  6. Apigee SSO がアサーションを検証し、アサーションからユーザー ID を抽出して Edge UI 用の OAuth2 認証トークンを生成します。その後、次の場所にあるメイン Edge UI ページにユーザーをリダイレクトします。
    https://edge_ui_IP_DNS:9000/platform/orgName

    ここで、orgName は Edge 組織の名前です。

Edge は、Okta や Microsoft Active Directory フェデレーション サービス(ADFS)など、多くの IDP をサポートしています。Edge で使用する ADFS の構成については、ADFS IDP で証明書利用者として Edge を構成するをご覧ください。Okta については、次のセクションをご覧ください。

SAML IDP を構成するには、ユーザーを識別するためのメールアドレスが Edge に必要です。したがって、ID プロバイダは、ID アサーションの一環としてメールアドレスを返す必要があります。

さらに、以下の一部またはすべてが必要になることがあります。

設定 説明
メタデータ URL

SAML IDP には、Apigee SSO のメタデータ URL が必要になる場合があります。メタデータ URL の形式は次のとおりです。

protocol://apigee_sso_IP_DNS:port/saml/metadata

次に例を示します。

http://apigee_sso_IP_or_DNS:9099/saml/metadata
アサーション コンシューマ サービス URL

ユーザーが IDP 認証情報を入力した後に、次の形式で Edge にリダイレクトする URL として使用できます。

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

次に例を示します。

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

シングル ログアウト URL

Apigee SSO でシングル ログアウトをサポートすることができます。詳細については、Edge UI からのシングル サインアウトを構成するをご覧ください。Apigee SSO シングル ログアウト URL の形式は次のとおりです。

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

次に例を示します。

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

SP エンティティ ID(またはオーディエンス URI)

Apigee SSO の場合:

apigee-saml-login-opdk

Okta の構成

Okta を構成するには:

  1. Okta にログインします。
  2. [Applications] を選択し、SAML アプリケーションを選択します。
  3. [Assignments] タブを選択し、アプリケーションにユーザーを追加します。これらのユーザーは、Edge UI にログインして Edge API 呼び出しを行うことができます。ただし、まず各ユーザーを Edge 組織に追加し、ユーザーの役割を指定する必要があります。詳細については、新しい Edge ユーザーを登録するをご覧ください。
  4. [ログイン] タブを選択して、ID プロバイダのメタデータ URL を取得します。Edge を構成する際に必要になるため、その URL を保存します。
  5. [General] タブを選択し、次の表に示すように、Okta アプリケーションを構成します。
    設定 説明
    シングル サインオン URL ユーザーが Okta の認証情報を入力した後に使用する Edge へのリダイレクト URL を指定します。URL の形式は次のとおりです。
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    apigee-sso で TLS を有効にする場合:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    ここで、apigee_sso_IP_DNSapigee-sso をホストしているノードの IP アドレスまたは DNS 名です。

    この URL では大文字と小文字が区別され、SSO は大文字でなければなりません。

    apigee-sso の前にロードバランサがある場合は、ロードバランサを介して参照される apigee-sso の IP アドレスまたは DNS 名を指定します。

    受信者 URL とリンク先 URL に使用します。 このチェックボックスをオンにします。
    オーディエンス URI(SP エンティティ ID) apigee-saml-login-opdk に設定
    デフォルトの RelayState 空欄のままにします。
    名前 ID の形式 EmailAddress を指定します。
    アプリケーションのユーザー名 Okta username を指定します。
    属性ステートメント(省略可) 次の画像に示すように、FirstNameLastNameEmail を指定します。

完了すると、[SAML 設定] ダイアログ ボックスが表示されます。