ضبط موفِّر الهوية المستنِد إلى SAML

تحدد مواصفات SAML ثلاثة كيانات:

  • الصفحة الرئيسية (مستخدم واجهة مستخدم Edge)
  • مقدّم الخدمة (الدخول المُوحَّد (SSO) في Apigee)
  • موفِّر الهوية (يعرض تأكيد SAML)

عند تفعيل SAML، يطلب المشرف (مستخدم واجهة مستخدم Edge) الوصول إلى مقدِّم الخدمة (الدخول الموحّد في Apigee). ثم يطلب الدخول المُوحَّد (SSO) في Apigee (بدوره كمقدِّم خدمة SAML) ويحصل عليه تأكيد الهوية من IDP لـ SAML ويستخدم هذا التأكيد لإنشاء رمز OAuth2 المميز المطلوب للوصول إلى واجهة مستخدم Edge. بعد ذلك، تتم إعادة توجيه المستخدم إلى واجهة مستخدم Edge.

يتم توضيح هذه العملية في ما يلي:

في هذا الرسم البياني:

  1. يحاول المستخدم الوصول إلى واجهة مستخدم Edge من خلال تقديم طلب إلى عنوان URL لتسجيل الدخول إلى Edge. واجهة مستخدم مثلاً: https://edge_ui_IP_DNS:9000
  2. تتم إعادة توجيه الطلبات التي لم تتم مصادقتها إلى موفِّر الهوية (idP) في SAML. على سبيل المثال: "https://idp.customer.com".
  3. إذا لم يسجّل المستخدم الدخول إلى موفِّر الهوية، سيُطلَب منه تسجيل. بوصة
  4. يسجِّل المستخدم الدخول.
  5. تتم مصادقة المستخدم من خلال موفِّر الهوية (idP) لـ SAML، والذي ينشئ تأكيد SAML 2.0 ويعرض الدخول المُوحَّد (SSO) في Apigee.
  6. يتحقّق الدخول المُوحَّد (SSO) في Apigee من التأكيد، ويستخرج هوية المستخدم من التأكيد، وينشئ رمز مصادقة OAuth 2 المميز لواجهة مستخدم Edge، ويعيد توجيه المستخدم إلى واجهة مستخدم Edge الرئيسية في:
    https://edge_ui_IP_DNS:9000/platform/orgName

    حيث يكون orgName هو اسم مؤسسة Edge.

يدعم Edge العديد من موفِّري الهوية (idP)، بما في ذلك Okta وMicrosoft Active Directory Federation Services. (ADFS). للحصول على معلومات حول ضبط ADFS للاستخدام مع Edge، راجِع ضبط Edge كمجموعة اعتماد في موفِّر الهوية (idP) من ADFS. بالنسبة إلى Okta، راجع القسم التالي.

لضبط موفِّر الهوية (idP) SAML، تتطلب شبكة Edge عنوان بريد إلكتروني لتحديد هوية المستخدم. ولذلك، يجب أن يقوم موفِّر الهوية بإرجاع عنوان بريد إلكتروني كجزء من تأكيد الهوية.

بالإضافة إلى ذلك، قد تحتاج إلى بعض ما يلي أو كله:

الإعدادات الوصف
عنوان URL للبيانات الوصفية

قد يتطلب موفِّر الهوية (idP) المستنِد إلى SAML عنوان URL للبيانات الوصفية للدخول المُوحَّد (SSO) في Apigee. يوجد عنوان URL للبيانات الوصفية في النموذج:

protocol://apigee_sso_IP_DNS:port/saml/metadata

على سبيل المثال:

http://apigee_sso_IP_or_DNS:9099/saml/metadata
عنوان URL لخدمة مستهلك Assertion

يمكن استخدامه كعنوان URL لإعادة التوجيه إلى Edge بعد إدخال المستخدم لموفِّر الهوية (idP) بيانات الاعتماد، بالشكل:

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

على سبيل المثال:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

عنوان URL لصفحة تسجيل الخروج الأحادي

يمكنك ضبط الدخول المُوحَّد (SSO) في Apigee لإتاحة تسجيل الخروج الموحّد. عرض ضبط تسجيل خروج فردي من واجهة مستخدم Edge لمعرفة المزيد. يحتوي عنوان URL لصفحة تسجيل الخروج الموحّد في Apigee على النحو التالي:

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

على سبيل المثال:

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

رقم تعريف كيان مقدِّم الخدمة (أو معرّف الموارد المنتظم (URI) للجمهور)

بالنسبة إلى الدخول المُوحَّد (SSO) في Apigee:

apigee-saml-login-opdk

تكوين إعدادات Okta

لضبط إعدادات Okta، اتّبِع الخطوات التالية:

  1. سجِّل الدخول إلى Okta.
  2. اختَر التطبيقات، ثم اختَر تطبيق SAML.
  3. اختَر علامة التبويب المهام الدراسية لإضافة أي مستخدمين إلى التطبيق. هؤلاء المستخدمين سيتمكنون من تسجيل الدخول إلى واجهة مستخدم Edge وإجراء طلبات البيانات من Edge API. ومع ذلك، يجب عليك أولاً إضافة كل مستخدم إلى مؤسسة Edge وتحديد دور المستخدم. راجع تسجيل مستخدمي Edge الجدد للمزيد.
  4. اختَر علامة التبويب تسجيل الدخول للحصول على عنوان URL للبيانات الوصفية لموفِّر الهوية. متجر عنوان URL هذا لأنك تحتاجه لإعداد Edge.
  5. اختَر علامة التبويب عام لضبط تطبيق Okta، كما هو موضَّح في الجدول أدناه:
    الإعدادات الوصف
    عنوان URL للدخول الموحَّد تُحدِّد عنوان URL لإعادة التوجيه إلى Edge لكي يتم استخدامه بعد أن يُدخل المستخدم كلمة Okta الخاصة به. بيانات الاعتماد. يظهر عنوان URL هذا بالشكل التالي:
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    إذا كنت تخطط لتفعيل بروتوكول أمان طبقة النقل (TLS) على apigee-sso:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    حيث apigee_sso_IP_DNS هو عنوان IP أو اسم نظام أسماء النطاقات عقدة تستضيف apigee-sso.

    تجدر الإشارة إلى أنّ عنوان URL هذا حسّاس لحالة الأحرف ويجب أن يظهر SSO بأحرف كبيرة.

    إذا كان لديك جهاز موازنة حمولة البيانات في واجهة apigee-sso، حدِّد عنوان IP. العنوان أو اسم نظام أسماء النطاقات للنطاق apigee-sso كما هو مشار إليه من خلال جهاز موازنة الحمل.

    استخدِم هذه السمة مع عنوان URL للمستلِم وعنوان URL المقصود اضبط مربّع الاختيار هذا.
    معرّف الموارد المنتظم (URI) للجمهور (رقم تعريف كيان مقدِّم الخدمة) ضبط الخيار على "apigee-saml-login-opdk"
    وظيفة RelayState التلقائية يمكن ترك هذا الحقل فارغًا.
    تنسيق رقم تعريف الاسم حدِّد EmailAddress.
    اسم مستخدم التطبيق حدِّد Okta username.
    عبارات السمات (اختيارية) تحديد FirstName وLastName Email كما هو موضح في الصورة أدناه.

من المفترض أن يظهر مربع حوار إعدادات SAML على النحو التالي بعد الانتهاء: