SAML の仕様では、次の 3 つのエンティティが定義されています。
- プリンシパル(Edge UI ユーザー)
- サービス プロバイダ(Apigee SSO)
- ID プロバイダ(SAML アサーションを返す)
SAML が有効な場合、プリンシパル(Edge UI ユーザー)がサービス プロバイダ(Apigee SSO)にアクセスをリクエストします。Apigee SSO はそれを受けて(SAML サービス プロバイダとしてのロールで)SAML IDP に ID アサーションをリクエストし、これを取得します。さらに、そのアサーションを使用して、Edge UI へのアクセスに必要な OAuth2 トークンを作成します。その後、ユーザーは Edge UI にリダイレクトされます。
このプロセスは次のとおりです。
処理の説明:
- ユーザーが Edge UI のログイン URL にリクエストして、Edge UI にアクセスしようとします。例:
https://edge_UI_IP_DNS:9000 - 未認証リクエストは SAML IDP にリダイレクトされます。例: https://idp.customer.com。
- ユーザーがまだ IDP にログインしていない場合は、ログインするよう求められます。
SAML IDP によって認証されている。
SAML IDP は SAML 2.0 アサーションを生成し、それを Apigee SSO モジュールに返します。
- Apigee SSO がアサーションを検証し、アサーションからユーザー ID を抽出して Edge UI 用の OAuth2 認証トークンを生成します。その後、次の URL からメインの Edge UI ページにユーザーをリダイレクトします。
https://edge_ui_IP_DNS:9000/platform/orgName
ここで、orgName は Edge 組織の名前です。