Edge UI で SAML を使用する

SAML 仕様では、次の 3 つのエンティティが定義されています。

  • プリンシパル(Edge UI ユーザー)
  • サービス プロバイダ(Apigee SSO)
  • ID プロバイダ(SAML アサーションを返します)

SAML が有効な場合、プリンシパル(Edge UI ユーザー)がサービス プロバイダ(Apigee SSO)にアクセスをリクエストします。Apigee SSO はそれを受けて(SAML サービス プロバイダとしての役割で)SAML IDP に ID アサーションをリクエストし、これを取得します。さらに、取得した ID アサーションを使用して、Edge UI へのアクセスに必要な OAuth2 トークンを作成します。その後、ユーザーは Edge UI にリダイレクトされます。

このプロセスを次の図に示します。

処理の説明:

  1. Edge UI にアクセスするため、ユーザーが Edge UI のログイン URL にリクエストを送信します。例: https://edge_UI_IP_DNS:9000
  2. 未認証のリクエストが SAML IDP にリダイレクトされます。(例: https://idp.customer.com)。
  3. ユーザーがまだ IDP にログインしていない場合は、ログインするよう求められます。

  4. SAML IDP によってユーザーが認証されます。

    SAML IDP は SAML 2.0 アサーションを生成し、Apigee SSO モジュールに返します。

  5. Apigee SSO がアサーションを検証し、アサーションからユーザー ID を抽出して Edge UI 用の OAuth2 認証トークンを生成します。その後、ユーザーを次の URL にあるメイン Edge UI ページにリダイレクトします。 
    https://edge_ui_IP_DNS:9000/platform/orgName

    ここで、orgName は Edge 組織の名前です。