Specyfikacja SAML definiuje 3 encje:
- Podmiot zabezpieczeń (użytkownik interfejsu Edge)
- Dostawca usług (logowanie jednokrotne Apigee)
- Dostawca tożsamości (zwraca potwierdzenie SAML)
Gdy SAML jest włączona, podmiot zabezpieczeń (użytkownik interfejsu Edge) prosi o dostęp do dostawcy usług (logowania jednokrotnego Apigee). Logowanie jednokrotne Apigee (w swojej roli jako dostawcy usługi SAML) wysyła żądanie i uzyskuje potwierdzenie tożsamości od dostawcy tożsamości SAML i wykorzystuje to potwierdzenie do utworzenia tokena OAuth2 wymaganego do uzyskania dostępu do interfejsu Edge. Następnie użytkownik zostaje przekierowany do interfejsu Edge.
Proces ten wygląda tak:
Na tym diagramie:
- Użytkownik próbuje uzyskać dostęp do interfejsu Edge, wysyłając żądanie na adres URL logowania w interfejsie Edge. Na przykład:
https://edge_ui_IP_DNS:9000
- Nieuwierzytelnione żądania są przekierowywane do dostawcy tożsamości SAML. Na przykład: „https://idp.customer.com”.
- Jeśli użytkownik nie jest zalogowany u dostawcy tożsamości, pojawia się prośba o zalogowanie.
- Użytkownik się loguje.
- Użytkownik jest uwierzytelniony przez dostawcę tożsamości SAML, który generuje potwierdzenie SAML 2.0 i zwraca je do logowania jednokrotnego Apigee.
- Logowanie jednokrotne w Apigee weryfikuje potwierdzenie, wyodrębnia tożsamość użytkownika z asercji, generuje token uwierzytelniania OAuth 2 dla interfejsu użytkownika Edge i przekierowuje użytkownika na główną stronę interfejsu Edge pod adresem:
https://edge_ui_IP_DNS:9000/platform/orgName
Gdzie orgName to nazwa organizacji Edge.
Edge obsługuje wiele dostawców tożsamości, w tym Okta i Microsoft Active Directory Federation Services (ADFS). Informacje o konfigurowaniu ADFS do użytku z Edge znajdziesz w artykule o konfigurowaniu Edge jako strony uzależnionej w dostawcy tożsamości ADFS. Okta znajdziesz poniżej.
Aby skonfigurować dostawcę tożsamości SAML, Edge wymaga adresu e-mail do zidentyfikowania użytkownika. Dlatego w ramach potwierdzenia tożsamości dostawca tożsamości musi zwracać adres e-mail.
Mogą też być wymagane niektóre lub wszystkie z tych elementów:
lokalizacji, | Opis |
---|---|
URL metadanych |
Dostawca tożsamości SAML może wymagać adresu URL metadanych logowania jednokrotnego Apigee. Adres URL metadanych ma postać: protocol://apigee_sso_IP_DNS:port/saml/metadata Na przykład: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
Assertion Consumer Service URL (URL usługi konsumenta potwierdzenia) |
Może być używany jako adres URL przekierowania z powrotem do Edge po wpisaniu przez użytkownika danych logowania dostawcy tożsamości w formacie: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Na przykład: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
URL wylogowania pojedynczego |
Możesz skonfigurować logowanie jednokrotne w Apigee tak, aby obsługiwało pojedyncze wylogowanie. Więcej informacji znajdziesz w artykule o konfigurowaniu logowania jednokrotnego w interfejsie użytkownika Edge. Adres URL wylogowania jednokrotnego logowania Apigee ma postać: protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Na przykład: http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
Identyfikator jednostki dostawcy usług (lub identyfikator URI odbiorców) |
W przypadku logowania jednokrotnego w Apigee: apigee-saml-login-opdk |
Konfigurowanie Okta
Aby skonfigurować Okta:
- Zaloguj się w Okta.
- Wybierz Aplikacje i wybierz aplikację SAML.
- Wybierz kartę Przypisania, aby dodać użytkowników do aplikacji. Ten użytkownik będzie mógł logować się w interfejsie użytkownika Edge i wykonywać wywołania interfejsu Edge API. Musisz jednak najpierw dodać każdego użytkownika do organizacji Edge i określić jego rolę. Więcej informacji znajdziesz w artykule Rejestrowanie nowych użytkowników Edge.
- Wybierz kartę Sign on (Logowanie), aby uzyskać adres URL metadanych dostawcy tożsamości. Zapisz ten adres URL, ponieważ jest on potrzebny do skonfigurowania Edge.
- Wybierz kartę Ogólne, aby skonfigurować aplikację Okta, jak pokazano w tej tabeli:
lokalizacji, Opis URL logowania jednokrotnego Określa adres URL przekierowania z powrotem do Edge, który będzie używany po wpisaniu przez użytkownika danych logowania Okta. Adres URL ma postać: http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
Jeśli planujesz włączyć TLS w domenie
apigee-sso
:https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
Gdzie apigee_sso_IP_DNS to adres IP lub nazwa DNS węzła hostującego
apigee-sso
.Pamiętaj, że w tym adresie URL rozróżniana jest wielkość liter, a nazwa SSO musi być pisana wielkimi literami.
Jeśli masz system równoważenia obciążenia przed
apigee-sso
, podaj adres IP lub nazwę DNS jednostkiapigee-sso
, do której odwołuje się system równoważenia obciążenia.Użyj tej opcji w przypadku adresu URL odbiorcy i docelowego adresu URL Zaznacz to pole wyboru. Identyfikator URI odbiorców (identyfikator jednostki dostawcy usług) Ustawiono: apigee-saml-login-opdk
Default RelayState Możesz pozostawić to pole puste. Format identyfikatora nazwy Określ EmailAddress
.Nazwa użytkownika aplikacji Określ Okta username
.Wyrażenia dotyczące atrybutów (opcjonalne) Określ FirstName
,LastName
iEmail
, jak pokazano na poniższym obrazie.
Gdy skończysz, okno ustawień SAML powinno wyglądać tak: