Trang này được dịch bởi Cloud Translation API.

Định cấu hình IDP SAML

Thông số kỹ thuật của SAML xác định 3 thực thể:

Chính (Người dùng giao diện người dùng Edge)
Nhà cung cấp dịch vụ (Apigee SSO)
Nhà cung cấp danh tính (trả về câu nhận định SAML)

Khi bạn bật SAML, người dùng chính (người dùng giao diện người dùng Edge) sẽ yêu cầu quyền truy cập vào nhà cung cấp dịch vụ (Apigee SSO). Apigee (với vai trò là nhà cung cấp dịch vụ SAML) sau đó yêu cầu và nhận thông tin xác nhận danh tính từ IDP SAML và sử dụng câu nhận định đó để tạo mã thông báo OAuth2 cần thiết để truy cập vào giao diện người dùng Edge. Sau đó, người dùng được chuyển hướng đến giao diện người dùng của Edge.

Quá trình này được hiển thị dưới đây:

Trong sơ đồ này:

Người dùng cố gắng truy cập vào giao diện người dùng Edge bằng cách đưa ra yêu cầu tới URL đăng nhập cho giao diện người dùng Edge. Ví dụ: https://edge_ui_IP_DNS:9000
Các yêu cầu chưa được xác thực sẽ được chuyển hướng tới IDP SAML. Ví dụ: "https://idp.customer.com".
Nếu người dùng chưa đăng nhập vào nhà cung cấp danh tính, thì họ sẽ được nhắc đăng nhập.
Người dùng đăng nhập.
Người dùng được xác thực bởi IDP SAML. IDP này sẽ tạo câu nhận định SAML 2.0 và trả về câu nhận định SSO của Apigee.
Apigee xác thực câu nhận định, trích xuất danh tính người dùng từ câu nhận định, tạo mã xác thực OAuth 2 cho giao diện người dùng Edge và chuyển hướng người dùng đến trang giao diện người dùng chính của Edge tại:
```
https://edge_ui_IP_DNS:9000/platform/orgName
```
Trong đó orgName là tên của một tổ chức Edge.

Edge hỗ trợ nhiều IDP, bao gồm cả Okta và Microsoft Active Directory Federation Services (ADFS). Để biết thông tin về cách định cấu hình ADFS để sử dụng với Edge, hãy xem bài viết Định cấu hình Edge ở dạng bên phụ thuộc trong ADFS IDP. Đối với Okta, hãy xem phần sau đây.

Để định cấu hình Nhà cung cấp danh tính dựa trên SAML, Edge yêu cầu có một địa chỉ email để xác định người dùng. Do đó, nhà cung cấp danh tính phải trả về một địa chỉ email trong quá trình xác nhận danh tính.

Ngoài ra, bạn có thể yêu cầu một số hoặc tất cả các yêu cầu sau:

Xem xét	Nội dung mô tả
URL siêu dữ liệu	IDP SAML có thể yêu cầu URL siêu dữ liệu của tính năng SSO của Apigee. URL siêu dữ liệu có dạng: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/metadata Ví dụ: http://`apigee_sso_IP_or_DNS`:9099/saml/metadata
URL của Dịch vụ người tiêu dùng xác nhận	Có thể dùng làm URL chuyển hướng về Edge sau khi người dùng nhập thông tin đăng nhập IDP của họ, theo biểu mẫu: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SSO/alias/apigee-saml-login-opdk Ví dụ: http://`apigee_sso_IP_or_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk
URL đăng xuất duy nhất	Bạn có thể định cấu hình tính năng Đăng nhập một lần (SSO) của Apigee để hỗ trợ tính năng đăng xuất một lần. Hãy xem bài viết Định cấu hình tính năng đăng xuất một lần từ giao diện người dùng Edge để biết thêm thông tin. URL đăng xuất một lần Đăng nhập một lần của Apigee có dạng như sau: `protocol`://`apigee_SSO_IP_DNS`:`port`/saml/SingleLogout/alias/apigee-saml-login-opdk Ví dụ: http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk
Mã nhận dạng thực thể SP (hoặc URI đối tượng)	Đối với quá trình đăng nhập một lần (SSO) của Apigee: apigee-saml-login-opdk Lưu ý: Hãy xem thêm bài viết trên thẻ Cộng đồng sau đây: Tôi có thể dùng một chuỗi tuỳ ý làm mã nhận dạng thực thể SP trong khi định cấu hình tính năng SSO của Apigee Edge không?.

Định cấu hình Okta

Cách định cấu hình Okta:

Đăng nhập vào Okta.
Chọn Ứng dụng, sau đó chọn ứng dụng SAML.
Chọn thẻ Bài tập để thêm mọi người dùng vào ứng dụng. Những người dùng này sẽ có thể đăng nhập vào giao diện người dùng Edge và thực hiện lệnh gọi API Edge. Tuy nhiên, trước tiên, bạn phải thêm từng người dùng vào một tổ chức Edge và chỉ định vai trò của người dùng đó. Hãy xem phần Đăng ký người dùng Edge mới để biết thêm thông tin.
Chọn thẻ Đăng nhập để lấy URL siêu dữ liệu của Nhà cung cấp danh tính. Hãy lưu trữ URL đó vì bạn cần URL đó để định cấu hình Edge.

Chọn thẻ General (Chung) để định cấu hình ứng dụng Okta, như minh hoạ trong bảng dưới đây:

Xem xét	Nội dung mô tả
URL đăng nhập một lần	Chỉ định URL chuyển hướng trở lại Edge để sử dụng sau khi người dùng nhập thông tin đăng nhập Okta. URL này có dạng: http://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk Nếu bạn định bật TLS trên `apigee-sso`: https://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk Trong đó `apigee_sso_IP_DNS` là địa chỉ IP hoặc tên DNS của nút lưu trữ `apigee-sso`. Lưu ý rằng URL này phân biệt chữ hoa chữ thường và SSO phải được viết hoa. Nếu bạn có trình cân bằng tải ở phía trước `apigee-sso`,hãy chỉ định địa chỉ IP hoặc tên DNS của `apigee-sso` được tham chiếu thông qua trình cân bằng tải.
Sử dụng địa chỉ này cho URL người nhận và URL đích	Đặt hộp đánh dấu này.
URI đối tượng (Mã thực thể SP)	Đã đặt thành `apigee-saml-login-opdk`
RelayState mặc định	Có thể để trống.
Định dạng của mã tên	Chỉ định `EmailAddress`.
Tên người dùng ứng dụng	Chỉ định `Okta username`.
Câu lệnh thuộc tính (Không bắt buộc)	Hãy chỉ định `FirstName`, `LastName` và `Email` như trong hình ảnh dưới đây.

Hộp thoại cài đặt SAML sẽ xuất hiện như bên dưới sau khi bạn hoàn tất: