एसएएमएल के खास निर्देश में तीन इकाइयों के बारे में बताया गया है:
- प्रिंसिपल (Edge यूज़र इंटरफ़ेस (यूआई) उपयोगकर्ता)
- सेवा देने वाली कंपनी (Apigee एसएसओ)
- पहचान देने वाली सेवा (SAML का दावा दिखाता है)
एसएएमएल चालू होने पर प्रिंसिपल (Edge यूज़र इंटरफ़ेस (यूआई) इस्तेमाल करने वाला), सेवा देने वाली कंपनी (Apigee एसएसओ) के ऐक्सेस का अनुरोध करता है. इसके बाद, Apigee एसएसओ (SSO) सेवा, एसएएमएल की सेवा देने वाली कंपनी के तौर पर काम करती है. इसके बाद, वह एसएएमएल IDP से आइडेंटिटी के दावे का अनुरोध करती है और उसे हासिल करती है. साथ ही, वह इस दावे का इस्तेमाल, Edge यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने के लिए ज़रूरी OAuth2 टोकन बनाने के लिए करती है. इसके बाद, उपयोगकर्ता को Edge यूज़र इंटरफ़ेस (यूआई) पर रीडायरेक्ट कर दिया जाता है.
इस प्रोसेस की जानकारी यहां दी गई है:
इस डायग्राम में:
- उपयोगकर्ता Edge यूज़र इंटरफ़ेस (यूआई) के लिए लॉगिन यूआरएल का अनुरोध करके, Edge यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने की कोशिश करता है. उदाहरण के लिए:
https://edge_ui_IP_DNS:9000
- बिना पुष्टि वाले अनुरोधों को एसएएमएल आईडीपी पर रीडायरेक्ट किया जाता है. उदाहरण के लिए, "https://idp.customer.com".
- अगर उपयोगकर्ता ने आइडेंटिटी प्रोवाइडर में लॉग इन नहीं किया है, तो उसे लॉग इन करने के लिए कहा जाएगा.
- उपयोगकर्ता लॉग इन करता है.
- उपयोगकर्ता की पुष्टि एसएएमएल आईडीपी से की गई है, जो एसएएमएल 2.0 के दावे को जनरेट करता है और उसे Apigee एसएसओ (SSO) पर वापस भेजता है.
- Apigee एसएसओ, दावे की पुष्टि करता है और दावे से उपयोगकर्ता की पहचान हासिल करता है. साथ ही, Edge यूज़र इंटरफ़ेस (यूआई) के लिए OAuth 2 पुष्टि करने वाला टोकन जनरेट करता है और उपयोगकर्ता को यहां दिए गए मुख्य Edge यूज़र इंटरफ़ेस (यूआई) के पेज पर रीडायरेक्ट करता है:
https://edge_ui_IP_DNS:9000/platform/orgName
जहां orgName, Edge संगठन का नाम है.
Edge, Okta और Microsoft Active Directory फ़ेडरेशन सर्विसेज़ (ADFS) सहित कई आईडीपी के साथ काम करता है. Edge के साथ इस्तेमाल करने के लिए ADFS को कॉन्फ़िगर करने के बारे में जानकारी के लिए, ADFS IDP में भरोसेमंद पक्ष के तौर पर Edge को कॉन्फ़िगर करना देखें. Okta के लिए, नीचे दिया गया सेक्शन देखें.
अपने एसएएमएल आईडीपी को कॉन्फ़िगर करने के लिए, Edge को उपयोगकर्ता की पहचान करने के लिए ईमेल पते की ज़रूरत होती है. इसलिए, पहचान देने वाले को दावा करते समय कोई ईमेल पता देना होगा.
इसके अलावा, आपको नीचे दी गई शर्तों में से कुछ या सभी की ज़रूरत पड़ सकती है:
सेटिंग | ब्यौरा |
---|---|
मेटाडेटा यूआरएल |
एसएएमएल आईडीपी को Apigee एसएसओ (SSO) के मेटाडेटा यूआरएल की ज़रूरत हो सकती है. मेटाडेटा का यूआरएल इस तरह में होता है: protocol://apigee_sso_IP_DNS:port/saml/metadata उदाहरण के लिए: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
दावा करने वाली उपभोक्ता सेवा का यूआरएल |
जब उपयोगकर्ता अपने आईडीपी क्रेडेंशियल डालकर, इस फ़ॉर्म में रीडायरेक्ट यूआरएल का इस्तेमाल कर सकता है, तब उसे वापस Edge पर रीडायरेक्ट करने वाले यूआरएल के तौर पर इस्तेमाल किया जा सकता है: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk उदाहरण के लिए: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
सिंगल लॉगआउट यूआरएल |
आपके पास Apigee एसएसओ (SSO) को कॉन्फ़िगर करने का विकल्प है, ताकि सिंगल लॉग आउट की सुविधा काम करे. ज़्यादा जानकारी के लिए, Edge यूज़र इंटरफ़ेस से एक बार साइन-आउट करने की सुविधा कॉन्फ़िगर करें देखें. Apigee एसएसओ (SSO) सिंगल लॉगआउट यूआरएल में यह फ़ॉर्म शामिल है: protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk उदाहरण के लिए: http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
एसपी इकाई का आईडी (या ऑडियंस यूआरआई) |
Apigee एसएसओ (SSO) के लिए: apigee-saml-login-opdk |
Okta को कॉन्फ़िगर किया जा रहा है
Okta को कॉन्फ़िगर करने के लिए:
- Okta में लॉग इन करें.
- ऐप्लिकेशन चुनें और फिर अपना एसएएमएल ऐप्लिकेशन चुनें.
- ऐप्लिकेशन में किसी उपयोगकर्ता को जोड़ने के लिए, असाइनमेंट टैब चुनें. ये उपयोगकर्ता, Edge यूज़र इंटरफ़ेस (यूआई) में लॉग इन कर पाएंगे और Edge API (एपीआई) कॉल कर पाएंगे. हालांकि, सबसे पहले आपको हर उपयोगकर्ता को Edge संगठन से जोड़ना होगा और उसकी भूमिका तय करनी होगी. ज़्यादा जानकारी के लिए, Edge के नए उपयोगकर्ताओं को रजिस्टर करें देखें.
- पहचान देने वाली सेवा के मेटाडेटा का यूआरएल पाने के लिए, साइन इन करें टैब को चुनें. उस यूआरएल को सेव करें, क्योंकि आपको Edge को कॉन्फ़िगर करने के लिए इसकी ज़रूरत होगी.
- नीचे दी गई टेबल में दिखाए गए तरीके से Okta ऐप्लिकेशन कॉन्फ़िगर करने के लिए, सामान्य टैब चुनें:
सेटिंग ब्यौरा सिंगल साइन-ऑन यूआरएल यह रीडायरेक्ट यूआरएल को Edge पर वापस ले जाता है, ताकि उपयोगकर्ता के Okta क्रेडेंशियल डालने के बाद उनका इस्तेमाल किया जा सके. यह यूआरएल इस तरह का है: http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
अगर आपको
apigee-sso
पर TLS चालू करना है, तो:https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
जहां apigee_sso_IP_DNS,
apigee-sso
को होस्ट करने वाले नोड का आईपी पता या डीएनएस नाम है.ध्यान दें कि यह यूआरएल केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) है और SSO को बड़े अक्षरों में दिखना चाहिए.
अगर आपके पास
apigee-sso
के आगे लोड बैलेंसर है,तो लोड बैलेंसर के ज़रिए बताए गए तरीके सेapigee-sso
का आईपी पता या डीएनएस नाम डालें.उपहार पाने वाले व्यक्ति के यूआरएल और डेस्टिनेशन यूआरएल (विज्ञापन के लैंडिंग पेज का यूआरएल) के लिए इसका इस्तेमाल करें यह चेकबॉक्स सेट करें. ऑडियंस यूआरआई (SP इकाई आईडी) apigee-saml-login-opdk
पर सेट किया गयाडिफ़ॉल्ट RelayState इसे खाली छोड़ा जा सकता है. नाम आईडी का फ़ॉर्मैट EmailAddress
के बारे में बताएं.ऐप्लिकेशन का उपयोगकर्ता नाम Okta username
के बारे में बताएं.एट्रिब्यूट की जानकारी (ज़रूरी नहीं) FirstName
,LastName
, औरEmail
के बारे में बताएं, जैसा कि यहां दी गई इमेज में दिखाया गया है.
यह काम पूरा करने के बाद, एसएएमएल सेटिंग का डायलॉग बॉक्स नीचे इस तरह दिखेगा: