La especificación SAML define tres entidades:
- Principal (usuario de la IU de Edge)
- Proveedor de servicios (SSO de Apigee)
- Proveedor de identidad (devuelve la aserción de SAML)
Cuando SAML está habilitado, el principal (un usuario de la IU de Edge) solicita acceso al proveedor de servicios (SSO de Apigee). Luego, el SSO de Apigee (en su rol de proveedor de servicios SAML) solicita y obtiene una aserción de identidad del IDP de SAML y la usa para crear el token OAuth2 necesarias para acceder a la IU de Edge. Luego, se redirecciona al usuario a la IU de Edge.
Este proceso se muestra a continuación:
En este diagrama, se muestra lo siguiente:
- El usuario intenta acceder a la IU de Edge mediante una solicitud a la URL de acceso de Edge
de la IU de Google. Por ejemplo:
https://edge_ui_IP_DNS:9000
- Las solicitudes no autenticadas se redireccionan al IdP de SAML. Por ejemplo: “https://idp.customer.com”.
- Si el usuario no accedió al proveedor de identidad, se le pedirá que lo haga. en el que te etiquetaron.
- El usuario accede a su cuenta.
- El IDP de SAML autentica al usuario, que genera una aserción SAML 2.0 y muestra al SSO de Apigee.
- El SSO de Apigee valida la aserción, extrae la identidad del usuario de la aserción y genera
el token de autenticación de OAuth 2 para la IU de Edge y redirecciona al usuario a la IU de Edge principal
en:
https://edge_ui_IP_DNS:9000/platform/orgName
orgName es el nombre de una organización de Edge.
Edge admite muchos IdP, incluidos Okta y Microsoft Active Directory Federation Services (ADFS). Si deseas obtener información sobre cómo configurar ADFS para usarlo con Edge, consulta Configura Edge como usuario de confianza en un IdP de ADFS. Para Okta, consulta la siguiente sección.
Para configurar tu IdP de SAML, Edge necesita una dirección de correo electrónico para identificar al usuario. Por lo tanto, el proveedor de identidad debe mostrar una dirección de correo electrónico como parte de la confirmación de identidad.
Además, es posible que necesites algunos de estos recursos o todos ellos:
Configuración | Descripción |
---|---|
URL de metadatos |
El IdP de SAML puede requerir la URL de metadatos del SSO de Apigee. La URL de los metadatos está en formulario: protocol://apigee_sso_IP_DNS:port/saml/metadata Por ejemplo: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
URL del servicio de consumidor de aserción |
Se puede usar como URL de redireccionamiento de vuelta a Edge después de que el usuario ingresa su IdP credenciales, con el siguiente formato: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Por ejemplo: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
URL de salida única |
Puedes configurar el SSO de Apigee para que admita el cierre de sesión único. Consulta Configura el cierre de sesión único desde la IU de Edge para obtener más información. La URL de salida única del SSO de Apigee tiene el siguiente formato: protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Por ejemplo: http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
El ID de entidad del SP (o URI de público) |
Para el SSO de Apigee: apigee-saml-login-opdk |
Configura Okta
Para configurar Okta, haz lo siguiente:
- Accede a Okta.
- Selecciona Aplicaciones y, luego, tu aplicación de SAML.
- Selecciona la pestaña Asignaciones para agregar usuarios a la aplicación. Estos usuarios podrán acceder a la IU de Edge y realizar llamadas a la API de Edge. Sin embargo, primero debes agregar cada usuario a una organización de Edge y especifica el rol del usuario. Consulta Registra usuarios de Edge nuevos para obtener más información.
- Selecciona la pestaña Sign on para obtener la URL de metadatos del proveedor de identidad. Tienda esa URL porque la necesitas para configurar Edge.
- Selecciona la pestaña General para configurar la aplicación de Okta, como se muestra en el
a continuación:
Configuración Descripción URL de inicio de sesión único Especifica la URL de redireccionamiento de Edge a Edge para usar después de que el usuario ingrese su Okta credenciales. Esta URL tiene el siguiente formato: http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
Si planeas habilitar TLS en
apigee-sso
, haz lo siguiente:https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
Donde apigee_sso_IP_DNS es la dirección IP o el nombre de DNS del que aloja a
apigee-sso
.Ten en cuenta que esta URL distingue mayúsculas de minúsculas, y el SSO debe aparecer en mayúsculas.
Si tienes un balanceador de cargas frente a
apigee-sso
,especifica la IP. o el nombre de DNS deapigee-sso
como se hace referencia a través de balanceador de cargas HTTP(S) global externo.Usar esta opción para la URL del destinatario y la URL de destino Establece esta casilla de verificación. URI del público (ID de entidad SP) Se configuró en apigee-saml-login-opdk
RelayState predeterminado Puede dejar el campo en blanco. Formato del ID del nombre Especifica EmailAddress
.Nombre de usuario de la aplicación Especifica Okta username
.Declaraciones de atributos (opcional) Especifica FirstName
,LastName
yEmail
, como se muestra en la siguiente imagen.
El cuadro de diálogo de configuración de SAML debería aparecer de la siguiente manera cuando termines: