La spécification SAML définit trois entités :
- Compte principal (utilisateur de l'interface utilisateur Edge)
- Fournisseur de services (authentification unique Apigee)
- Fournisseur d'identité (renvoie une assertion SAML)
Lorsque SAML est activé, le compte principal (un utilisateur de l'interface utilisateur Edge) demande l'accès au fournisseur de services (authentification unique Apigee). Apigee SSO (en tant que fournisseur de services SAML) demande et obtient ensuite une assertion d'identité de l'IDP SAML et utilise cette assertion pour créer l'authentification OAuth2 jeton requis pour accéder à l'interface utilisateur Edge. L'utilisateur est ensuite redirigé vers l'interface utilisateur Edge.
Ce processus est illustré ci-dessous:
Dans ce diagramme :
- L'utilisateur tente d'accéder à l'interface utilisateur Edge en envoyant une demande à l'URL de connexion pour Edge
UI. Par exemple :
https://edge_UI_IP_DNS:9000 - Les requêtes non authentifiées sont redirigées vers l'IdP SAML. Par exemple : "https://idp.customer.com".
- Si vous n'êtes pas connecté à l'IdP, vous êtes invité à vous connecter.
Vous êtes authentifié par l'IdP SAML.
L'IdP SAML génère et renvoie une assertion SAML 2.0 au module d'authentification unique Apigee.
- Apigee SSO valide l'assertion, en extrait l'identité, génère
le jeton d'authentification OAuth 2 pour l'interface utilisateur Edge et redirige l'utilisateur vers l'interface utilisateur Edge principale
à l'URL suivante:
https://edge_ui_IP_DNS:9000/platform/orgName
Où orgName est le nom d'une organisation Edge.