Spesifikasi SAML menentukan tiga entity:
- Utama (pengguna UI Edge)
- Penyedia layanan (Apigee SSO)
- Penyedia identitas (menampilkan pernyataan SAML)
Saat SAML diaktifkan, akun utama (pengguna UI Edge) meminta akses ke penyedia layanan (SSO Apigee). SSO Apigee (dalam perannya sebagai penyedia layanan SAML) kemudian meminta dan memperoleh pernyataan identitas dari IDP SAML dan menggunakan pernyataan tersebut untuk membuat token OAuth2 yang diperlukan untuk mengakses UI Edge. Kemudian, pengguna akan dialihkan ke UI Edge.
Proses ini ditampilkan di bawah ini:
Dalam diagram ini:
- Pengguna mencoba mengakses UI Edge dengan membuat permintaan ke URL login untuk Edge
UI. Contoh:
https://edge_ui_IP_DNS:9000
- Permintaan yang tidak diautentikasi dialihkan ke IDP SAML. Misalnya, "https://idp.customer.com".
- Jika pengguna tidak login ke penyedia identitas, mereka akan diminta untuk inc.
- Pengguna login.
- Pengguna diautentikasi oleh IDP SAML, yang membuat pernyataan SAML 2.0 dan menampilkan ke SSO Apigee.
- SSO Apigee memvalidasi pernyataan, mengekstrak identitas pengguna dari pernyataan, menghasilkan
token autentikasi OAuth 2 untuk UI Edge, dan mengalihkan pengguna ke UI Edge utama
di:
https://edge_ui_IP_DNS:9000/platform/orgName
Dengan orgName adalah nama organisasi Edge.
Edge mendukung banyak IDP, termasuk Okta dan Microsoft Active Directory Federation Services {i>ADFS<i}. Untuk informasi tentang cara mengonfigurasi ADFS agar dapat digunakan dengan Edge, lihat Mengonfigurasi Edge sebagai Pihak Pengandalan di ADFS IDP. Untuk Okta, lihat bagian berikut.
Untuk mengonfigurasi IDP SAML, Edge memerlukan alamat email untuk mengidentifikasi pengguna. Oleh karena itu, penyedia identitas harus menampilkan alamat email sebagai bagian dari pernyataan identitas.
Selain itu, Anda mungkin memerlukan beberapa atau semua hal berikut:
Setelan | Deskripsi |
---|---|
URL metadata |
IDP SAML mungkin memerlukan URL metadata SSO Apigee. URL metadata ada dalam bentuk: protocol://apigee_sso_IP_DNS:port/saml/metadata Contoh: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
URL Assertion Consumer Service |
Dapat digunakan sebagai URL alihan kembali ke Edge setelah pengguna memasukkan IDP kredensial, dalam bentuk: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Contoh: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
URL logout tunggal |
Anda dapat mengonfigurasi SSO Apigee untuk mendukung logout tunggal. Lihat Mengonfigurasi single sign-out dari UI Edge untuk lebih banyak. URL logout tunggal SSO Apigee memiliki bentuk: protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Contoh: http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
ID entitas SP (atau URI Audiens) |
Untuk SSO Apigee: apigee-saml-login-opdk |
Mengonfigurasi Okta
Untuk mengonfigurasi Okta:
- Login ke Okta.
- Pilih Applications lalu pilih aplikasi SAML.
- Pilih tab Assignments untuk menambahkan pengguna ke aplikasi. Pengguna ini akan dapat login ke UI Edge dan melakukan panggilan Edge API. Namun, Anda harus terlebih dahulu menambahkan masing-masing ke organisasi Edge dan menentukan peran pengguna. Lihat Mendaftarkan pengguna Edge baru untuk informasi selengkapnya.
- Pilih tab Sign on untuk mendapatkan URL metadata Penyedia Identitas. Menyimpan URL itu karena Anda memerlukannya untuk mengonfigurasi Edge.
- Pilih tab General untuk mengonfigurasi aplikasi Okta, seperti yang ditampilkan
tabel di bawah ini:
Setelan Deskripsi URL Single Sign-On Menentukan URL pengalihan kembali ke Edge untuk digunakan setelah pengguna memasukkan Okta memiliki kredensial yang lengkap. URL ini dalam bentuk: http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
Jika Anda berencana untuk mengaktifkan TLS di
apigee-sso
:https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
Dengan apigee_sso_IP_DNS adalah alamat IP atau nama DNS yang menghosting node
apigee-sso
.Perhatikan bahwa URL ini peka huruf besar/kecil dan SSO harus ditampilkan dalam huruf besar.
Jika Anda memiliki load balancer di depan
apigee-sso
,tentukan IP alamat atau nama DNSapigee-sso
seperti yang dirujuk melalui dengan load balancer Jaringan Passthrough Eksternal Regional.Gunakan ini untuk URL Penerima dan URL Tujuan Tetapkan kotak centang ini. URI Audiens (ID Entitas SP) Disetel ke apigee-saml-login-opdk
RelayState Default Dapat dikosongkan. Format ID nama Tentukan EmailAddress
Nama pengguna aplikasi Tentukan Okta username
Pernyataan Atribut (Opsional) Tentukan FirstName
,LastName
, danEmail
seperti yang ditunjukkan pada gambar di bawah.
Kotak dialog setelan SAML akan muncul seperti di bawah ini setelah Anda selesai: