In der SAML-Spezifikation werden drei Entitäten definiert:
- Hauptkonto (Edge-UI-Nutzer)
- Dienstanbieter (Apigee-SSO)
- Identitätsanbieter (gibt SAML-Assertion zurück)
Wenn SAML aktiviert ist, fordert das Hauptkonto (ein Edge-UI-Nutzer) Zugriff beim Dienstanbieter an (Apigee SSO). Apigee SSO (in seiner Rolle als SAML-Dienstanbieter) fordert dann eine Identitätsbestätigung vom SAML-IdP an und ruft diese ab. Anschließend verwendet diese Assertion, um das OAuth2-Token zu erstellen, das für den Zugriff auf die Edge-Benutzeroberfläche erforderlich ist. Der Nutzer wird dann zur Edge-Benutzeroberfläche weitergeleitet.
So funktioniert's:
In diesem Diagramm:
- Der Nutzer versucht, auf die Edge-Benutzeroberfläche zuzugreifen, indem er eine Anfrage an die Anmelde-URL für die Edge-Benutzeroberfläche stellt. Beispiel:
https://edge_ui_IP_DNS:9000 - Nicht authentifizierte Anfragen werden an den SAML-IdP weitergeleitet. Beispiel: „https://idp.customer.com“.
- Wenn der Nutzer nicht beim Identitätsanbieter angemeldet ist, wird er aufgefordert, sich anzumelden.
- Der Nutzer meldet sich an.
- Der Nutzer wird durch den SAML-IdP authentifiziert, der eine SAML 2.0-Assertion generiert und an die Apigee-SSO zurückgibt.
- Die Apigee-SSO validiert die Assertion, extrahiert die Nutzeridentität aus der Assertion, generiert das OAuth 2-Authentifizierungstoken für die Edge-Benutzeroberfläche und leitet den Nutzer auf die Hauptseite der Edge-Benutzeroberfläche unter
https://edge_ui_IP_DNS:9000/platform/orgName
weiterDabei ist orgName der Name einer Edge-Organisation.
Edge unterstützt viele IdPs, einschließlich Okta und den Microsoft Active Directory Federation Services (ADFS). Informationen zum Konfigurieren von ADFS für die Verwendung mit Edge finden Sie unter Edge als vertrauende Partei in ADFS IDP konfigurieren. Informationen zu Okta finden Sie im folgenden Abschnitt.
Zum Konfigurieren Ihres SAML-IdP benötigt Edge eine E-Mail-Adresse zur Identifizierung des Nutzers. Daher muss der Identitätsanbieter im Rahmen der Identitätsbestätigung eine E-Mail-Adresse zurückgeben.
Darüber hinaus benötigen Sie möglicherweise einige oder alle der folgenden Komponenten:
| Einstellung | Beschreibung |
|---|---|
| Metadaten-URL |
Der SAML-IdP benötigt möglicherweise die Metadaten-URL der Apigee-SSO. Die Metadaten-URL hat das folgende Format: protocol://apigee_sso_IP_DNS:port/saml/metadata Beispiel: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
| Assertion Consumer Service-URL |
Kann als Weiterleitungs-URL zurück zu Edge verwendet werden, nachdem der Nutzer seine IdP-Anmeldedaten im folgenden Format eingegeben hat: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Beispiel: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
|
Einzelne Abmelde-URL |
Sie können die Apigee-SSO so konfigurieren, dass sie die Einzelabmeldung unterstützt. Weitere Informationen finden Sie unter Einmalanmeldung (SSO) über die Edge-Benutzeroberfläche konfigurieren. Die SSO-URL für eine einzelne Abmeldung von Apigee hat das folgende Format: protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Beispiel: http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
|
Die Entitäts-ID des Dienstanbieters (oder der Zielgruppen-URI) |
Für die Apigee-SSO: apigee-saml-login-opdk |
Okta konfigurieren
So konfigurieren Sie Okta:
- Melden Sie sich bei Okta an.
- Wählen Sie Applications (Anwendungen) und dann Ihre SAML-Anwendung aus.
- Wählen Sie den Tab Zuweisungen aus, um der Anwendung Nutzer hinzuzufügen. Diese Benutzer können sich bei der Edge-Benutzeroberfläche anmelden und Edge-API-Aufrufe ausführen. Sie müssen jedoch zuerst jeden Nutzer einer Edge-Organisation hinzufügen und die Rolle des Nutzers angeben. Weitere Informationen finden Sie unter Neue Edge-Nutzer registrieren.
- Wählen Sie den Tab Sign on (Anmelden) aus, um die Metadaten-URL des Identitätsanbieters abzurufen. Speichern Sie diese URL, da Sie sie zum Konfigurieren von Edge benötigen.
- Wählen Sie zum Konfigurieren der Okta-Anwendung den Tab General (Allgemein) aus, wie in der folgenden Tabelle dargestellt:
Einstellung Beschreibung URL für die Einmalanmeldung (SSO) Gibt die Weiterleitungs-URL zurück an Edge für die Verwendung, nachdem der Nutzer seine Okta-Anmeldedaten eingegeben hat. Diese URL hat das Format: http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
Wenn Sie TLS unter
apigee-ssoaktivieren möchten:https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
Dabei ist apigee_sso_IP_DNS die IP-Adresse oder der DNS-Name des Knotens, auf dem
apigee-ssogehostet wird.Bei dieser URL wird zwischen Groß- und Kleinschreibung unterschieden und SSO muss in Großbuchstaben angegeben werden.
Wenn Sie einen Load-Balancer vor
apigee-ssohaben, geben Sie die IP-Adresse oder den DNS-Namen vonapigee-ssoan, wie durch den Load-Balancer angegeben.Verwenden Sie dieses Attribut für Empfänger-URL und Ziel-URL Klicken Sie dieses Kästchen an. Zielgruppen-URI (Entitäts-ID des Dienstanbieters) Festgelegt auf apigee-saml-login-opdkStandard-RelayState Kann leer lassen. Name-ID-Format Geben Sie EmailAddressan.Nutzername für die Anwendung Geben Sie Okta usernamean.Attributanweisungen (optional) Geben Sie FirstName,LastNameundEmailan, wie in der Abbildung unten gezeigt.
Wenn Sie fertig sind, sollte das Dialogfeld für die SAML-Einstellungen wie unten dargestellt aussehen:
