הגדרה של SAML IdP

מפרט SAML מגדיר שלוש ישויות:

• חשבון משתמש (משתמש בממשק קצה (Edge)
• ספק שירות (Apigee SSO)
• ספק הזהויות (מחזיר טענת נכוֹנוּת (assertion) של SAML)

כש-SAML מופעל, חשבון המשתמש (משתמש בממשק המשתמש של Edge) מבקש גישה לספק השירות (Apigee SSO). ב-Apigee SSO (בתפקידו כספק שירות של SAML), היא מבקשת טענת נכוֹנוּת (assertion) מ-IDP של SAML ומשתמשת בטענת הנכוֹנוּת הזו כדי ליצור את אסימון OAuth2 שנדרש כדי לגשת לממשק המשתמש של Edge. אחר כך המשתמש יופנה אוטומטית לממשק המשתמש של Edge.

התהליך מוצג בהמשך:

בתרשים הזה:

1. המשתמש מנסה להיכנס לממשק המשתמש של Edge על ידי שליחת בקשה לכתובת ה-URL להתחברות עבור ממשק המשתמש של Edge. לדוגמה: https://edge_ui_IP_DNS:9000
2. בקשות לא מאומתות מופנות ל-IdP של SAML. לדוגמה: "https://idp.customer.com".
3. אם המשתמשים לא מחוברים לספק הזהויות, הם יתבקשו להתחבר.
4. המשתמש מתחבר לחשבון.
5. המשתמש מאומת על ידי ה-IdP ב-SAML, שיוצר טענת נכוֹנוּת (assertion) של SAML 2.0 ומחזיר אותו ל-SSO של Apigee.
6. כניסה יחידה ב-Apigee מאמתת את טענת הנכוֹנוּת (assertion), מחלצת את זהות המשתמש מטענת הנכוֹנוּת (assertion), יוצרת את אסימון האימות של OAuth 2 לממשק המשתמש של Edge ומפנה את המשתמש לדף הראשי של ממשק המשתמש של Edge בכתובת:

   https://edge_ui_IP_DNS:9000/platform/orgName

   כאשר orgName הוא השם של ארגון Edge.

Edge תומך במזהי IdP רבים, כולל Okta ו-Microsoft Active Directory Federation Services (ADFS). מידע נוסף על הגדרת ADFS לשימוש ב-Edge מופיע במאמר הגדרת Edge כגורם מהימן ב-ADFS IDP. בקטע Okta, עיינו בקטע הבא.

כדי להגדיר את ה-IdP שלך ב-SAML, צריך להזין כתובת אימייל לזיהוי המשתמש ב-Edge. לכן, ספק הזהויות חייב להחזיר כתובת אימייל כחלק מבדיקת הזהות.

בנוסף, ייתכן שיידרשו לך חלק מהדרישות הבאות, או את כולן:

protocol://apigee_sso_IP_DNS:port/saml/metadata

http://apigee_sso_IP_or_DNS:9099/saml/metadata

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

apigee-saml-login-opdk

הגדרת ה-Okta

כדי להגדיר את ה-Okta:

1. מתחברים אל Okta.
2. בוחרים באפשרות Applications (אפליקציות) ולאחר מכן בוחרים את אפליקציית SAML שהגדרתם.
3. כדי להוסיף משתמשים לאפליקציה, בוחרים בכרטיסייה משימות. המשתמשים האלה יוכלו להתחבר לממשק המשתמש של Edge ולבצע קריאות ל-Edge API. אבל קודם צריך להוסיף כל משתמש לארגון Edge ולציין את תפקיד המשתמש. למידע נוסף, ראו רישום משתמשי Edge חדשים.
4. לוחצים על הכרטיסייה Sign on (כניסה) כדי לקבל את כתובת ה-URL של המטא-נתונים של ספק הזהויות. מאחסנים את כתובת ה-URL הזו כי צריך אותה כדי להגדיר את Edge.
5. בוחרים בכרטיסייה General (כללי) כדי להגדיר את האפליקציה ב-Okta, כפי שמוצג בטבלה הבאה:

   הגדרה	תיאור
   כתובת URL לכניסה יחידה	מציינת את כתובת ה-URL להפניה אוטומטית בחזרה ל-Edge, לשימוש אחרי שהמשתמש מזין את פרטי הכניסה שלו ב-Okta. זוהי כתובת ה-URL בפורמט: http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk אם בכוונתך להפעיל TLS ב-apigee-sso: https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk כאשר apigee_sso_IP_DNS הוא כתובת ה-IP או שם ה-DNS של הצומת שמארח את apigee-sso. חשוב לשים לב שכתובת ה-URL הזו היא תלוית אותיות רישיות וSSO חייב להופיע באותיות רישיות. אם יש מאזן עומסים בחזית של apigee-sso,צריך לציין את כתובת ה-IP או את שם ה-DNS של apigee-sso בהתאם להפניות של מאזן העומסים.
   השתמשו באפשרות הזו עבור כתובת ה-URL של הנמען וכתובת היעד	סימון התיבה הזו.
   URI של קהל (מזהה ישות SP)	הגדרה בתור apigee-saml-login-opdk
   מדינת הממסר המוגדרת כברירת מחדל	ניתן להשאיר ריק.
   פורמט של מזהה שם	צריך לציין EmailAddress.
   שם המשתמש באפליקציה	צריך לציין Okta username.
   הצהרות מאפיינים (אופציונלי)	יש לציין FirstName, LastName ו-Email כפי שמוצג בתמונה למטה.

בסיום, תיבת הדו-שיח של הגדרות SAML אמורה להופיע כמו בדוגמה הבאה: