SAML IDP خود را پیکربندی کنید

مشخصات SAML سه موجودیت را تعریف می کند:

  • اصلی (کاربر Edge UI)
  • ارائه دهنده خدمات (Apigee SSO)
  • ارائه‌دهنده هویت (اظهار SAML را برمی‌گرداند)

هنگامی که SAML فعال است، اصلی (یک کاربر Edge UI) درخواست دسترسی به ارائه دهنده خدمات (Apigee SSO) می کند. Apigee SSO (در نقش خود به عنوان ارائه‌دهنده خدمات SAML) سپس یک ادعای هویت را از SAML IDP دریافت می‌کند و از آن ادعا برای ایجاد توکن OAuth2 مورد نیاز برای دسترسی به رابط کاربری Edge استفاده می‌کند. سپس کاربر به رابط کاربری Edge هدایت می شود.

این فرآیند در زیر نشان داده شده است:

در این نمودار:

  1. کاربر سعی می کند با درخواست به URL ورود به سیستم Edge UI به Edge UI دسترسی پیدا کند. به عنوان مثال: https:// edge_ui_IP_DNS :9000
  2. درخواست های احراز هویت نشده به SAML IDP هدایت می شوند. به عنوان مثال، "https://idp.customer.com".
  3. اگر کاربر به ارائه دهنده هویت وارد نشده باشد، از آنها خواسته می شود که وارد سیستم شوند.
  4. کاربر وارد می شود.
  5. کاربر توسط SAML IDP احراز هویت می‌شود، که یک ادعای SAML 2.0 ایجاد می‌کند و آن را به Apigee SSO برمی‌گرداند.
  6. Apigee SSO ادعا را تأیید می کند، هویت کاربر را از ادعا استخراج می کند، کد تأیید اعتبار OAuth 2 را برای رابط کاربری Edge ایجاد می کند و کاربر را به صفحه اصلی Edge UI در آدرس زیر هدایت می کند:
    https://edge_ui_IP_DNS:9000/platform/orgName

    جایی که orgName نام یک سازمان Edge است.

Edge از بسیاری از IDP ها، از جمله Okta و Microsoft Active Directory Federation Services (ADFS) پشتیبانی می کند. برای اطلاعات در مورد پیکربندی ADFS برای استفاده با Edge، به پیکربندی لبه به عنوان یک طرف متکی در ADFS IDP مراجعه کنید. برای Okta، بخش زیر را ببینید.

برای پیکربندی SAML IDP، Edge به یک آدرس ایمیل برای شناسایی کاربر نیاز دارد. بنابراین، ارائه‌دهنده هویت باید یک آدرس ایمیل را به عنوان بخشی از ادعای هویت بازگرداند.

علاوه بر این، ممکن است به برخی یا همه موارد زیر نیاز داشته باشید:

تنظیم توضیحات
URL فراداده

SAML IDP ممکن است به URL فراداده Apigee SSO نیاز داشته باشد. URL ابرداده به شکل زیر است:

protocol://apigee_sso_IP_DNS:port/saml/metadata

به عنوان مثال:

http://apigee_sso_IP_or_DNS:9099/saml/metadata
URL خدمات مصرف کننده ادعا

می تواند به عنوان URL تغییر مسیر به Edge پس از وارد کردن اعتبار IDP توسط کاربر به شکل زیر استفاده شود:

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

به عنوان مثال:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

URL خروجی واحد

می‌توانید Apigee SSO را برای پشتیبانی از خروج از سیستم پیکربندی کنید. برای اطلاعات بیشتر به پیکربندی خروج واحد از رابط کاربری Edge مراجعه کنید. URL خروجی تک Apigee SSO به شکل زیر است:

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

به عنوان مثال:

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

شناسه نهاد SP (یا URI مخاطب)

برای Apigee SSO:

apigee-saml-login-opdk

پیکربندی Okta

برای پیکربندی Okta:

  1. به Okta وارد شوید.
  2. برنامه ها را انتخاب کنید و سپس برنامه SAML خود را انتخاب کنید.
  3. برای افزودن هر کاربر به برنامه، تب Assignments را انتخاب کنید. این کاربران می‌توانند وارد رابط کاربری Edge شوند و تماس‌های API Edge برقرار کنند. با این حال، ابتدا باید هر کاربر را به یک سازمان Edge اضافه کنید و نقش کاربر را مشخص کنید. برای اطلاعات بیشتر به ثبت نام کاربران جدید Edge مراجعه کنید.
  4. برای به دست آوردن URL فراداده Identity Provider، برگه Sign on را انتخاب کنید. آن URL را ذخیره کنید زیرا برای پیکربندی Edge به آن نیاز دارید.
  5. همانطور که در جدول زیر نشان داده شده است، تب General را برای پیکربندی برنامه Okta انتخاب کنید:
    تنظیم توضیحات
    یک علامت در URL نشانی اینترنتی هدایت مجدد به Edge را برای استفاده پس از وارد کردن اطلاعات کاربری Okta توسط کاربر مشخص می کند. این URL به شکل زیر است:
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    اگر قصد دارید TLS را در apigee-sso فعال کنید:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    جایی که apigee_sso_IP_DNS آدرس IP یا نام DNS گره میزبان apigee-sso است.

    توجه داشته باشید که این URL به حروف کوچک و بزرگ حساس است و SSO باید با حروف بزرگ نشان داده شود.

    اگر یک load balancer در جلوی apigee-sso دارید، آدرس IP یا نام DNS apigee-sso را همانطور که از طریق load balancer ارجاع داده شده است، مشخص کنید.

    از این برای URL گیرنده و URL مقصد استفاده کنید این چک باکس را تنظیم کنید.
    URI مخاطب (شناسه نهاد SP) روی apigee-saml-login-opdk تنظیم کنید
    RelayState پیش فرض می تواند خالی بگذارد.
    فرمت شناسه نام EmailAddress مشخص کنید.
    نام کاربری برنامه Okta username مشخص کنید.
    بیانیه های ویژگی (اختیاری) همانطور که در تصویر زیر نشان داده شده است، FirstName ، LastName و Email را مشخص کنید.

پس از اتمام کار، کادر محاوره‌ای تنظیمات SAML باید به صورت زیر ظاهر شود: