配置 SAML IdP

SAML 规范定义了三个实体:

  • 主账号(Edge 界面用户)
  • 服务提供商 (Apigee SSO)
  • 身份提供方(返回 SAML 断言)

启用 SAML 后,主帐号(Edge 界面用户)会请求对服务提供商的访问权限 (Apigee SSO)。然后,Apigee SSO(作为 SAML 服务提供商的角色)会从 SAML IDP 请求并获取身份断言,并使用该断言创建访问 Edge 界面所需的 OAuth2 令牌。然后,用户会被重定向到 Edge 界面。

此过程如下所示:

在此图中:

  1. 用户尝试通过向 Edge 界面的登录网址发出请求来访问 Edge 界面。例如:https://edge_ui_IP_DNS:9000
  2. 未经身份验证的请求会被重定向到 SAML IDP。例如,“https://idp.customer.com”。
  3. 如果用户未登录身份提供方的登录,系统会提示用户登录。
  4. 用户登录。
  5. 用户通过 SAML IDP 进行身份验证,SAML IDP 会生成 SAML 2.0 断言并将其返回给 Apigee SSO。
  6. Apigee SSO 会验证断言,从断言中提取用户身份,为 Edge 界面生成 OAuth 2 身份验证令牌,并将用户重定向到 Edge 界面主页面: 
    https://edge_ui_IP_DNS:9000/platform/orgName

    其中,orgName 是 Edge 组织的名称。

Edge 支持许多 IDP,包括 Okta 和 Microsoft Active Directory Federation Services (ADFS)。如需了解如何配置 ADFS 以便与 Edge 搭配使用,请参阅在 ADFS IDP 中将 Edge 配置为依赖方。对于 Okta,请参阅下一部分。

为了配置 SAML IDP,Edge 需要电子邮件地址来识别用户身份。因此,身份提供方必须在身份断言中返回电子邮件地址。

此外,您可能需要提供以下部分或全部信息:

设置 说明
元数据网址

SAML IDP 可能需要 Apigee SSO 的元数据网址。元数据网址的格式如下:

protocol://apigee_sso_IP_DNS:port/saml/metadata

例如:

http://apigee_sso_IP_or_DNS:9099/saml/metadata
断言消费者服务网址

可用作用户输入 IDP 凭据后返回到 Edge 的重定向网址,格式如下:

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

例如:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

单次退出网址

您可以配置 Apigee SSO 以支持单次退出。如需了解详情,请参阅从 Edge 界面配置单点登录。Apigee SSO 单一退出网址的格式如下:

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

例如:

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

服务提供商实体 ID(或受众群体 URI)

对于 Apigee SSO:

apigee-saml-login-opdk

配置 Okta

如需配置 Okta,请执行以下操作

  1. 登录 Okta。
  2. 选择应用,然后选择您的 SAML 应用。
  3. 选择分配标签页,向应用添加任何用户。这些用户将能够登录 Edge 界面并进行 Edge API 调用。但是,您必须先将每个用户添加到 Edge 组织,并指定用户的角色。请参阅注册新的 Edge 用户,了解详情。
  4. 选择 Sign on(登录)标签页以获取身份提供方元数据网址。请存储该网址,因为您需要用它来配置 Edge。
  5. 选择常规标签页以配置 Okta 应用,如下表所示:
    设置 说明
    单点登录网址 将重定向网址指定回 Edge,以便在用户输入其 Okta 凭据后使用。网址格式如下: 
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    如果您打算在 apigee-sso 上启用 TLS,请执行以下操作:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    其中,apigee_sso_IP_DNS 是托管 apigee-sso 的节点的 IP 地址或 DNS 名称。

    请注意,此网址区分大小写,并且 SSO 必须以大写字母显示。

    如果您在 apigee-sso 前面有一个负载平衡器,请指定 apigee-sso 的 IP 地址或 DNS 名称,以供通过负载平衡器引用。
    用于“收件人网址”和“目标网址” 设置此复选框。
    受众群体 URI(SP 实体 ID) 已设为“apigee-saml-login-opdk
    默认中继状态 可以留空。
    名称 ID 格式 指定 EmailAddress
    应用用户名 指定 Okta username
    属性语句(可选) 指定 FirstNameLastNameEmail,如下图所示。

完成后,SAML 设置对话框应如下所示: