SAML-IdP konfigurieren

In der SAML-Spezifikation werden drei Entitäten definiert:

  • Hauptkonto (Edge-UI-Nutzer)
  • Dienstanbieter (Apigee-SSO)
  • Identitätsanbieter (gibt SAML-Assertion zurück)

Wenn SAML aktiviert ist, fordert das Hauptkonto (ein Edge-UI-Nutzer) Zugriff beim Dienstanbieter an (Apigee-SSO). Mit der Apigee-SSO (in seiner Rolle als SAML-Dienstanbieter) fordert und erhält Identitätsbestätigung vom IDP und verwendet diese Assertion, um das OAuth2-Token zu erstellen die für den Zugriff auf die Edge-Benutzeroberfläche erforderlich sind. Der Benutzer wird dann zur Edge-Benutzeroberfläche weitergeleitet.

Dieser Vorgang wird im Folgenden dargestellt:

In diesem Diagramm gilt Folgendes:

  1. Der Benutzer versucht, auf die Edge-Benutzeroberfläche zuzugreifen, indem er eine Anfrage an die Anmelde-URL für den Edge stellt. UI. Beispiel: https://edge_ui_IP_DNS:9000
  2. Nicht authentifizierte Anfragen werden an den SAML-IdP weitergeleitet. Beispiel: „https://idp.customer.com“.
  3. Wenn der Nutzer nicht beim Identitätsanbieter angemeldet ist, wird er aufgefordert, .
  4. Der Nutzer meldet sich an.
  5. Der Nutzer wird über den SAML-IdP authentifiziert, der eine SAML 2.0-Assertion generiert und eine Rückgabe der in die Apigee-SSO umwandeln.
  6. Apigee SSO validiert die Assertion, extrahiert die Nutzeridentität aus der Assertion, generiert das OAuth 2-Authentifizierungstoken für die Edge-Benutzeroberfläche und leitet den Nutzer an die Haupt-Benutzeroberfläche von Edge weiter. Seite unter: 
    https://edge_ui_IP_DNS:9000/platform/orgName

    Dabei ist orgName der Name einer Edge-Organisation.

Edge unterstützt viele IdPs, einschließlich Okta und der Microsoft Active Directory Federation Services. (ADFS). Informationen zum Konfigurieren von ADFS für die Verwendung mit Edge finden Sie unter Konfigurieren von Edge als vertrauende Partei in ADFS IDP Informationen zu Okta finden Sie im folgenden Abschnitt.

Um Ihren SAML-IdP zu konfigurieren, benötigt Edge eine E-Mail-Adresse, um den Nutzer zu identifizieren. Dementsprechend wird Der Identitätsanbieter muss im Rahmen der Identitätsbestätigung eine E-Mail-Adresse zurückgeben.

Darüber hinaus können einige oder alle der folgenden Punkte erforderlich sein:

Einstellung Beschreibung
Metadaten-URL

Der SAML-IdP benötigt möglicherweise die Metadaten-URL der Apigee-SSO. Die Metadaten-URL befindet sich in der Formular:

protocol://apigee_sso_IP_DNS:port/saml/metadata

Beispiel:

http://apigee_sso_IP_or_DNS:9099/saml/metadata
Assertion Consumer Service-URL

Kann als Weiterleitungs-URL zurück zu Edge verwendet werden, nachdem der Nutzer seinen IdP eingegeben hat Anmeldedaten im Format:

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

Beispiel:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

URL für einzelne Abmeldung

Sie können die Apigee-SSO so konfigurieren, dass sie die einmalige Abmeldung unterstützt. Weitere Informationen finden Sie unter Einmalanmeldung (SSO) über die Edge-Benutzeroberfläche konfigurieren finden Sie weitere Informationen. Die Apigee-SSO-URL für eine einzelne Abmeldung hat das folgende Format:

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

Beispiel:

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

Die Entitäts-ID des Dienstanbieters (oder Zielgruppen-URI)

Für Apigee-SSO:

apigee-saml-login-opdk

Okta konfigurieren

So konfigurieren Sie Okta:

  1. Melden Sie sich in Okta an.
  2. Wählen Sie Applications (Anwendungen) und dann Ihre SAML-Anwendung aus.
  3. Wählen Sie den Tab Assignments (Aufgaben) aus, um der Anwendung Nutzer hinzuzufügen. Diese Nutzer kann sich bei der Edge-Benutzeroberfläche anmelden und Edge API-Aufrufe durchführen. Sie müssen jedoch zuerst alle Nutzer zu einer Edge-Organisation zu verknüpfen und die Rolle des Nutzers anzugeben. Weitere Informationen finden Sie unter Neue Edge-Nutzer registrieren.
  4. Wählen Sie den Tab Sign on (Anmelden) aus, um die Metadaten-URL des Identitätsanbieters abzurufen. Geschäft da Sie sie zum Konfigurieren von Edge benötigen.
  5. Wählen Sie den Tab General (Allgemein) aus, um die Okta-Anwendung zu konfigurieren, wie in den Tabelle unten:
    Einstellung Beschreibung
    Einmalanmeldungs-URL Gibt die Weiterleitungs-URL zurück zu Edge an, die verwendet werden kann, nachdem der Nutzer seine Okta eingegeben hat Anmeldedaten. Diese URL hat das Format: 
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    Wenn Sie TLS auf apigee-sso aktivieren möchten:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    Dabei ist apigee_sso_IP_DNS die IP-Adresse oder der DNS-Name des Knoten-Hosting von apigee-sso.

    Bei dieser URL wird zwischen Groß- und Kleinschreibung unterschieden und die SSO muss in Großbuchstaben angezeigt werden.

    Wenn vor apigee-sso ein Load-Balancer vorhanden ist,geben Sie die IP-Adresse an oder DNS-Name von apigee-sso entsprechend der Load-Balancer.
    Verwenden Sie dieses Attribut für Empfänger-URL und Ziel-URL. Setzen Sie ein Häkchen in dieses Kästchen.
    Zielgruppen-URI (Entitäts-ID des Dienstanbieters) Legen Sie apigee-saml-login-opdk fest
    Standard-RelayState Darf leer bleiben.
    Name-ID-Format Geben Sie EmailAddress an.
    Nutzername für die Anwendung Geben Sie Okta username an.
    Attributaufstellungen (optional) Geben Sie FirstName, LastName und Email, wie in der Abbildung unten gezeigt.

Wenn Sie fertig sind, sollte das Dialogfeld mit den SAML-Einstellungen so aussehen: