A especificação SAML define três entidades:
- Principal (usuário da interface do Edge)
- Provedor de serviços (SSO da Apigee)
- Provedor de identidade (retorna a declaração SAML)
Quando o SAML está ativado, o principal (um usuário da IU do Edge) solicita acesso ao provedor de serviços (SSO da Apigee). O SSO da Apigee (em seu papel como provedor de serviços SAML) solicita e recebe uma declaração de identidade do IDP SAML e a usa para criar o token OAuth2 necessário para acessar a IU do Edge. O usuário é redirecionado para a IU do Edge.
Esse processo é mostrado abaixo:
Neste diagrama:
- O usuário tenta acessar a IU do Edge fazendo uma solicitação para o URL de login da IU do
Edge. Exemplo:
https://edge_ui_IP_DNS:9000
- As solicitações não autenticadas são redirecionadas para o IdP SAML. Por exemplo, "https://idp.customer.com".
- Se o usuário não tiver feito login no provedor de identidade, ele vai precisar fazer login.
- O usuário faz login.
- O usuário é autenticado pelo IdP SAML, que gera uma declaração SAML 2.0 e a retorna ao SSO da Apigee.
- O SSO da Apigee valida a declaração, extrai a identidade do usuário da declaração, gera
o token de autenticação do OAuth 2 para a interface do Edge e redireciona o usuário para a página principal da interface
do Edge em:
https://edge_ui_IP_DNS:9000/platform/orgName
Em que orgName é o nome de uma organização de Edge.
O Edge oferece suporte a vários IdPs, incluindo o Okta e os Serviços de Federação do Microsoft Active Directory (ADFS). Para informações sobre como configurar o ADFS para uso com o Edge, consulte Como configurar o Edge como uma parte confiável no IDP do ADFS. Para o Okta, consulte a seção a seguir.
Para configurar o IdP SAML, o Edge exige um endereço de e-mail para identificar o usuário. Portanto, o provedor de identidade precisa retornar um endereço de e-mail como parte da declaração de identidade.
Além disso, talvez você precise de alguns ou todos os itens a seguir:
Configuração | Descrição |
---|---|
URL de metadados |
O IdP de SAML pode exigir o URL de metadados do SSO da Apigee. O URL de metadados tem este formato: protocol://apigee_sso_IP_DNS:port/saml/metadata Exemplo: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
URL de serviço de declaração de consumidor |
Pode ser usado como o URL de redirecionamento de volta para o Edge depois que o usuário inserir as credenciais do IdP, no formato: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Exemplo: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
URL de logout único |
É possível configurar o SSO da Apigee para aceitar o logout único. Consulte Configurar o logout único na IU do Edge para saber mais. O URL de logout único do SSO da Apigee tem este formato: protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Exemplo: http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
O ID da entidade do SP (ou URI do público-alvo) |
Para o SSO da Apigee: apigee-saml-login-opdk |
Como configurar o Okta
Para configurar o Okta:
- Faça login no Okta.
- Selecione Aplicativos e o aplicativo SAML.
- Selecione a guia Assignments (Atribuições) para adicionar usuários ao app. Esses usuários poderão fazer login na IU do Edge e fazer chamadas da API Edge. No entanto, é preciso primeiro adicionar cada usuário a uma organização de Edge e especificar o papel do usuário. Consulte Registrar novos usuários do Edge para saber mais.
- Selecione a guia Sign on para receber o URL de metadados do provedor de identidade. Armazene esse URL porque você precisa dele para configurar o Edge.
- Selecione a guia General para configurar o aplicativo Okta, conforme mostrado na tabela abaixo:
Configuração Descrição URL de logon único Especifica o URL de redirecionamento de volta ao Edge para uso depois que o usuário inserir as credenciais do Okta. Esse URL está no formato: http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
Se você planeja ativar o TLS no
apigee-sso
:https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
Em que apigee_sso_IP_DNS é o endereço IP ou nome DNS do nó que hospeda
apigee-sso
.Esse URL diferencia maiúsculas de minúsculas, e o SSO precisa aparecer em letras maiúsculas.
Se você tiver um balanceador de carga na frente de
apigee-sso
, especifique o endereço IP ou o nome DNS deapigee-sso
, conforme referenciado pelo balanceador de carga.Use para URL do destinatário e URL de destino Marque esta caixa de seleção. URI do público-alvo (ID da entidade do SP) Definir como: apigee-saml-login-opdk
RelayState padrão Pode ser deixado em branco. Formato do ID de nome Especifique EmailAddress
.Nome de usuário do aplicativo Especifique Okta username
.Instruções de atributos (opcional) Especifique FirstName
,LastName
eEmail
, como mostrado na imagem abaixo.
Quando você terminar, a caixa de diálogo de configurações de SAML será exibida como abaixo: