設定 SAML IDP

SAML 規格定義了三個實體:

  • 主體 (Edge UI 使用者)
  • 服務供應商 (Apigee 單一登入)
  • 識別資訊提供者 (傳回 SAML 宣告)

SAML 啟用後,主體 (Edge UI 使用者) 會要求存取服務供應商 (Apigee 單一登入)。Apigee 單一登入 (做為 SAML 服務供應商) 會在要求存取權後取得 透過 SAML IDP 發出身分識別宣告來建立 OAuth2 權杖 而無法存取 Edge UI然後,系統會將使用者重新導向至 Edge UI。

這項程序如下所示:

下圖:

  1. 使用者要求存取 Edge 的登入網址,嘗試存取 Edge UI 第一種是使用無代碼解決方案 AutoML 透過使用者介面建立機器學習模型例如:https://edge_ui_IP_DNS:9000
  2. 系統會將未經驗證的要求重新導向至 SAML IDP。例如: 「https://idp.customer.com」。
  3. 如果使用者尚未登入識別資訊提供者,系統會提示使用者登入 。
  4. 使用者登入。
  5. 使用者已通過 SAML IDP 驗證,進而產生 SAML 2.0 斷言並傳回 部署至 Apigee 單一登入
  6. Apigee 單一登入 (SSO) 會驗證斷言、從斷言中擷取使用者身分, Edge UI 的 OAuth 2 驗證權杖,然後將使用者重新導向主要 UI 頁面: 
    https://edge_ui_IP_DNS:9000/platform/orgName

    其中 orgName 是 Edge 機構的名稱。

Edge 支援許多 IDP,包括 Okta 和 Microsoft Active Directory Federation Services (ADFS)。如要瞭解如何設定 ADFS 以與 Edge 搭配使用,請參閱設定 ADFS 採用 ADFS IDP 的 Relying Party。如需瞭解 Okta,請參閱後續章節。

如要設定 SAML IDP,Edge 需要一個用來識別使用者的電子郵件地址。因此 識別資訊提供者必須在身分聲明中傳回電子郵件地址。

此外,您可能還需要下列部分或所有:

設定 說明
中繼資料網址

SAML IDP 可能會要求 Apigee 單一登入 (SSO) 的中繼資料網址。中繼資料網址位於 表單:

protocol://apigee_sso_IP_DNS:port/saml/metadata

例如:

http://apigee_sso_IP_or_DNS:9099/saml/metadata
Assertion Consumer Service URL (宣告客戶服務網址)

可在使用者輸入 IdP 後,用來返回 Edge 的重新導向網址 憑證,格式如下:

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

例如:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

單一登出網址

您可以將 Apigee 單一登入 (SSO) 設為支援單一登出。詳情請見 透過 Edge UI 設定單一登入功能 瞭解詳情。Apigee 單一登入 (SSO) 單一登出網址的格式如下:

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

例如:

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

SP 實體 ID (或目標對象 URI)

Apigee 單一登入 (SSO):

apigee-saml-login-opdk

設定 Okta

如要設定 Okta:

  1. 登入 Okta。
  2. 選取「Applications」,然後選取 SAML 應用程式。
  3. 選取「Assignments」分頁標籤,將任何使用者新增至應用程式。這些使用者 將可登入 Edge UI 並發出 Edge API 呼叫。不過,您必須先將每項 使用者變更為 Edge 機構,並指定使用者的角色。 詳情請參閱註冊新的 Edge 使用者
  4. 選取「Sign on」分頁標籤,即可取得識別資訊提供者中繼資料網址。商店 因為您需要使用這個網址設定 Edge
  5. 選取「General」分頁標籤來設定 Okta 應用程式,如 資料表:
    設定 說明
    網址單一登入 將重新導向網址傳回 Edge,以便在使用者輸入 Okta 後使用 憑證這個網址的格式為: 
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    如果您打算在 apigee-sso 啟用 TLS:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    其中 apigee_sso_IP_DNS 是 代管 apigee-sso 的節點。

    請注意,這個網址區分大小寫,而且 SSO 必須以大寫表示。

    如果 apigee-sso 前方設有負載平衡器,請指定 IP 位址或 apigee-sso 的 DNS 名稱,如 負載平衡器
    用於收件者網址和到達網頁網址 設定這個核取方塊。
    目標對象 URI (SP 實體 ID) 已設為「apigee-saml-login-opdk
    預設 RelayState 可留空。
    名稱 ID 格式 指定 EmailAddress
    應用程式使用者名稱 指定 Okta username
    屬性陳述式 (選用) 指定 FirstNameLastNameEmail,如下圖所示。

完成後,SAML 設定對話方塊應該會顯示如下: