กําหนดค่า SAML IDP

ข้อกำหนดของ SAML ระบุเอนทิตี 3 รายการดังนี้

• ผู้ใช้หลัก (ผู้ใช้ Edge UI)
• ผู้ให้บริการ (SSO ของ Apigee)
• Identity Provider (ส่งคืนการยืนยัน SAML)

เมื่อเปิดใช้ SAML ผู้ใช้หลัก (ผู้ใช้ Edge UI) จะขอสิทธิ์เข้าถึงผู้ให้บริการ (SSO) ของ Apigee Apigee SSO (ในบทบาทเป็นผู้ให้บริการ SAML) จะส่งคำขอและรับการยืนยันข้อมูลประจำตัวจาก SAML IDP และใช้การยืนยันดังกล่าวเพื่อสร้างโทเค็น OAuth2 ที่จำเป็นในการเข้าถึง Edge UI จากนั้นระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยัง Edge UI

โดยกระบวนการมีดังต่อไปนี้

ในแผนภาพนี้

1. ผู้ใช้พยายามเข้าถึง Edge UI ด้วยการส่งคำขอไปยัง URL สำหรับเข้าสู่ระบบสำหรับ Edge UI เช่น https://edge_ui_IP_DNS:9000
2. ระบบจะเปลี่ยนเส้นทางคำขอที่ไม่ได้ตรวจสอบสิทธิ์ไปยัง SAML IDP เช่น "https://idp.customer.com"
3. หากผู้ใช้ไม่ได้เข้าสู่ระบบผู้ให้บริการข้อมูลประจำตัว ระบบจะแจ้งให้ผู้ใช้ลงชื่อเข้าสู่ระบบ
4. ผู้ใช้เข้าสู่ระบบ
5. ผู้ใช้ได้รับการตรวจสอบสิทธิ์โดย SAML IDP ซึ่งจะสร้างการยืนยัน SAML 2.0 และส่งคืนไปยัง SSO ของ Apigee
6. Apigee SSO จะตรวจสอบการยืนยัน ดึงข้อมูลข้อมูลระบุตัวตนของผู้ใช้ออกจากการยืนยัน สร้างโทเค็นการตรวจสอบสิทธิ์ OAuth 2 สำหรับ Edge UI และเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Edge UI หลักดังนี้

   https://edge_ui_IP_DNS:9000/platform/orgName

   โดย orgName คือชื่อขององค์กร Edge

Edge รองรับ IdP จำนวนมาก รวมถึง Okta และ Microsoft Active Directory Federation Services (ADFS) โปรดดูข้อมูลเกี่ยวกับการกำหนดค่า ADFS สำหรับใช้กับ Edge ที่หัวข้อการกำหนดค่า Edge ในฐานะ Relying Party ใน ADFS IDP สำหรับ Okta โปรดดูหัวข้อต่อไปนี้

Edge ต้องใช้อีเมลในการระบุตัวตนผู้ใช้เพื่อกำหนดค่า SAML IDP ดังนั้นผู้ให้บริการข้อมูลประจำตัวต้องแสดงผลอีเมล ซึ่งเป็นส่วนหนึ่งของการยืนยันตัวตน

นอกจากนี้ คุณอาจต้องการสิ่งต่อไปนี้บางส่วนหรือทั้งหมด

protocol://apigee_sso_IP_DNS:port/saml/metadata

http://apigee_sso_IP_or_DNS:9099/saml/metadata

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

apigee-saml-login-opdk

การกำหนดค่า Okta

วิธีกำหนดค่า Okta

1. ลงชื่อเข้าสู่ระบบ Okta
2. เลือก Applications แล้วเลือกแอปพลิเคชัน SAML
3. เลือกแท็บ Assignments เพื่อเพิ่มผู้ใช้ลงในแอปพลิเคชัน ผู้ใช้เหล่านี้จะเข้าสู่ระบบ Edge UI และเรียก Edge API ได้ แต่คุณต้องเพิ่มผู้ใช้แต่ละรายลงในองค์กร Edge และระบุบทบาทของผู้ใช้ก่อน โปรดดูข้อมูลเพิ่มเติมที่ลงทะเบียนผู้ใช้ Edge รายใหม่
4. เลือกแท็บ Sign on เพื่อรับ URL ข้อมูลเมตาของผู้ให้บริการข้อมูลประจำตัว จัดเก็บ URL ดังกล่าวเนื่องจากคุณจำเป็นต้องใช้เพื่อกำหนดค่า Edge
5. เลือกแท็บทั่วไปเพื่อกำหนดค่าแอปพลิเคชัน Okta ดังที่แสดงในตารางด้านล่าง

   การเกริ่นนำ	คำอธิบาย
   URL การลงชื่อเพียงครั้งเดียว	ระบุ URL เปลี่ยนเส้นทางกลับไปยัง Edge เพื่อใช้หลังจากที่ผู้ใช้ป้อนข้อมูลเข้าสู่ระบบ Okta URL นี้อยู่ในรูปแบบ http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk หากวางแผนที่จะเปิดใช้ TLS ใน apigee-sso ให้ทำดังนี้ https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk โดย apigee_sso_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของโหนดที่โฮสต์ apigee-sso โปรดทราบว่า URL นี้คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ และ SSO ต้องปรากฏเป็นตัวพิมพ์ใหญ่ หากคุณมีตัวจัดสรรภาระงานอยู่ด้านหน้า apigee-sso ให้ระบุที่อยู่ IP หรือชื่อ DNS ของ apigee-sso ตามที่อ้างอิงผ่านตัวจัดสรรภาระงาน
   ใช้ URL นี้สำหรับ URL ของผู้รับและ URL ปลายทาง	ตั้งค่าช่องทำเครื่องหมายนี้
   URI กลุ่มเป้าหมาย (รหัสเอนทิตี SP)	ตั้งค่าเป็น apigee-saml-login-opdk
   RelayState เริ่มต้น	เว้นว่างไว้ได้
   รูปแบบรหัสชื่อ	ระบุ EmailAddress
   ชื่อผู้ใช้แอปพลิเคชัน	ระบุ Okta username
   คำสั่งแอตทริบิวต์ (ไม่บังคับ)	ระบุ FirstName, LastName และ Email ตามที่แสดงในรูปภาพด้านล่าง

เมื่อคุณดำเนินการเสร็จแล้ว กล่องโต้ตอบการตั้งค่า SAML ควรปรากฏด้านล่างนี้