SAML IDP خود را پیکربندی کنید

مشخصات SAML سه موجودیت را تعریف می کند:

• اصلی (کاربر Edge UI)
• ارائه دهنده خدمات (Apigee SSO)
• ارائه‌دهنده هویت (اظهار SAML را برمی‌گرداند)

هنگامی که SAML فعال است، اصلی (یک کاربر Edge UI) درخواست دسترسی به ارائه دهنده خدمات (Apigee SSO) می کند. Apigee SSO (در نقش خود به عنوان ارائه‌دهنده خدمات SAML) سپس یک ادعای هویت را از SAML IDP دریافت می‌کند و از آن ادعا برای ایجاد توکن OAuth2 مورد نیاز برای دسترسی به رابط کاربری Edge استفاده می‌کند. سپس کاربر به رابط کاربری Edge هدایت می شود.

این فرآیند در زیر نشان داده شده است:

در این نمودار:

1. کاربر سعی می کند با درخواست به URL ورود به سیستم Edge UI به Edge UI دسترسی پیدا کند. به عنوان مثال: https:// edge_ui_IP_DNS :9000
2. درخواست های احراز هویت نشده به SAML IDP هدایت می شوند. به عنوان مثال، "https://idp.customer.com".
3. اگر کاربر به ارائه دهنده هویت وارد نشده باشد، از آنها خواسته می شود که وارد سیستم شوند.
4. کاربر وارد می شود.
5. کاربر توسط SAML IDP احراز هویت می‌شود، که یک ادعای SAML 2.0 ایجاد می‌کند و آن را به Apigee SSO برمی‌گرداند.
6. Apigee SSO ادعا را تأیید می کند، هویت کاربر را از ادعا استخراج می کند، کد تأیید اعتبار OAuth 2 را برای رابط کاربری Edge ایجاد می کند، و کاربر را به صفحه اصلی Edge UI در:

   https://edge_ui_IP_DNS:9000/platform/orgName

   هدایت می کند.

   جایی که orgName نام یک سازمان Edge است.

Edge از بسیاری از IDP ها، از جمله Okta و Microsoft Active Directory Federation Services (ADFS) پشتیبانی می کند. برای اطلاعات در مورد پیکربندی ADFS برای استفاده با Edge، به پیکربندی لبه به عنوان یک طرف متکی در ADFS IDP مراجعه کنید. برای Okta، بخش زیر را ببینید.

برای پیکربندی SAML IDP، Edge به یک آدرس ایمیل برای شناسایی کاربر نیاز دارد. بنابراین، ارائه‌دهنده هویت باید یک آدرس ایمیل را به عنوان بخشی از ادعای هویت بازگرداند.

علاوه بر این، ممکن است به برخی یا همه موارد زیر نیاز داشته باشید:

protocol://apigee_sso_IP_DNS:port/saml/metadata

http://apigee_sso_IP_or_DNS:9099/saml/metadata

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

apigee-saml-login-opdk

پیکربندی Okta

برای پیکربندی Okta:

1. به Okta وارد شوید.
2. برنامه ها را انتخاب کنید و سپس برنامه SAML خود را انتخاب کنید.
3. برای افزودن هر کاربر به برنامه، تب Assignments را انتخاب کنید. این کاربران می‌توانند وارد رابط کاربری Edge شوند و تماس‌های API Edge برقرار کنند. با این حال، ابتدا باید هر کاربر را به یک سازمان Edge اضافه کنید و نقش کاربر را مشخص کنید. برای اطلاعات بیشتر به ثبت نام کاربران جدید Edge مراجعه کنید.
4. برای به دست آوردن URL فراداده Identity Provider، برگه Sign on را انتخاب کنید. آن URL را ذخیره کنید زیرا برای پیکربندی Edge به آن نیاز دارید.
5. همانطور که در جدول زیر نشان داده شده است، تب General را برای پیکربندی برنامه Okta انتخاب کنید:

   تنظیمات	شرح
   یک علامت در URL	نشانی اینترنتی هدایت مجدد به Edge را برای استفاده پس از وارد کردن اطلاعات کاربری Okta توسط کاربر مشخص می کند. این URL به شکل http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk است اگر قصد دارید TLS را در apigee-sso فعال کنید: https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk جایی که apigee_sso_IP_DNS آدرس IP یا نام DNS گره میزبان apigee-sso است. توجه داشته باشید که این URL به حروف کوچک و بزرگ حساس است و SSO باید با حروف بزرگ نشان داده شود. اگر یک load balancer در جلوی apigee-sso دارید، آدرس IP یا نام DNS apigee-sso را همانطور که از طریق load balancer ارجاع داده شده است، مشخص کنید.
   از این برای نشانی وب گیرنده و نشانی وب مقصد استفاده کنید	این چک باکس را تنظیم کنید.
   URI مخاطب (شناسه نهاد SP)	روی apigee-saml-login-opdk تنظیم کنید
   RelayState پیش فرض	می تواند خالی بگذارد.
   فرمت شناسه نام	EmailAddress مشخص کنید.
   نام کاربری برنامه	Okta username مشخص کنید.
   بیانیه های ویژگی (اختیاری)	همانطور که در تصویر زیر نشان داده شده است، FirstName ، LastName و Email مشخص کنید.

پس از اتمام کار، کادر محاوره‌ای تنظیمات SAML باید به صورت زیر ظاهر شود: