Configurer votre IDP SAML

La spécification SAML définit trois entités :

  • Compte principal (utilisateur de l'interface utilisateur Edge)
  • Fournisseur de services (SSO Apigee)
  • Fournisseur d'identité (renvoie l'assertion SAML)

Lorsque SAML est activé, le compte principal (un utilisateur de l'interface utilisateur Edge) demande l'accès au fournisseur de services (authentification unique Apigee). Apigee SSO (en tant que fournisseur de services SAML) demande et obtient ensuite une assertion d'identité auprès de l'IDP SAML et utilise cette assertion pour créer le jeton OAuth2 requis pour accéder à l'interface utilisateur Edge. L'utilisateur est ensuite redirigé vers l'interface utilisateur Edge.

Ce processus est illustré ci-dessous:

Dans ce diagramme :

  1. L'utilisateur tente d'accéder à l'interface utilisateur Edge en envoyant une requête à l'URL de connexion pour l'interface utilisateur Edge. Par exemple : https://edge_ui_IP_DNS:9000
  2. Les requêtes non authentifiées sont redirigées vers l'IdP SAML. Exemple : "https://idp.customer.com".
  3. Si l'utilisateur n'est pas connecté au fournisseur d'identité, il est invité à se connecter.
  4. L'utilisateur se connecte.
  5. L'utilisateur est authentifié par l'IdP SAML, qui génère une assertion SAML 2.0 et la renvoie à l'authentification unique Apigee.
  6. Apigee SSO valide l'assertion, extrait l'identité de l'utilisateur de l'assertion, génère le jeton d'authentification OAuth 2 pour l'interface utilisateur Edge et redirige l'utilisateur vers la page principale de l'interface utilisateur Edge à l'adresse : 
    https://edge_ui_IP_DNS:9000/platform/orgName

    orgName est le nom d'une organisation Edge.

Edge est compatible avec de nombreux IdP, y compris Okta et les services de fédération Microsoft Active Directory (ADFS). Pour plus d'informations sur la configuration d'ADFS pour une utilisation avec Edge, consultez la page Configurer Edge en tant que partie de confiance dans ADFS IDP. Pour Okta, consultez la section suivante.

Pour configurer votre IdP SAML, Edge a besoin d'une adresse e-mail pour identifier l'utilisateur. Par conséquent, le fournisseur d'identité doit renvoyer une adresse e-mail dans l'assertion d'identité.

En outre, vous aurez peut-être besoin d'une partie ou de la totalité des éléments suivants:

Paramètre Description
URL des métadonnées

L'IdP SAML peut nécessiter l'URL de métadonnées de l'authentification unique Apigee. L'URL des métadonnées se présente sous la forme suivante:

protocol://apigee_sso_IP_DNS:port/saml/metadata

Exemple :

http://apigee_sso_IP_or_DNS:9099/saml/metadata
Assertion Consumer Service URL (URL du service ACS)

Peut être utilisée comme URL de redirection vers Edge après que l'utilisateur a saisi ses identifiants de fournisseur d'identité, sous la forme:

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

Exemple :

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

URL de déconnexion unique

Vous pouvez configurer l'authentification unique Apigee de sorte qu'elle autorise la déconnexion unique. Pour plus d'informations, consultez la section Configurer la déconnexion unique à partir de l'interface utilisateur Edge. L'URL de déconnexion unique Apigee SSO se présente sous la forme suivante:

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

Exemple :

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

ID d'entité du fournisseur de services (ou URI d'audience)

Pour l'authentification unique Apigee:

apigee-saml-login-opdk

Configurer Okta

Pour configurer Okta:

  1. Connectez-vous à Okta.
  2. Sélectionnez Applications, puis votre application SAML.
  3. Sélectionnez l'onglet Assignments (Attributions) pour ajouter des utilisateurs à l'application. Ces utilisateurs pourront se connecter à l'interface utilisateur Edge et effectuer des appels d'API Edge. Cependant, vous devez d'abord ajouter chaque utilisateur à une organisation Edge et spécifier le rôle de l'utilisateur. Pour en savoir plus, consultez la section Enregistrer de nouveaux utilisateurs Edge.
  4. Sélectionnez l'onglet Sign on (Connexion) pour obtenir l'URL des métadonnées du fournisseur d'identité. Stockez cette URL, car vous en aurez besoin pour configurer Edge.
  5. Sélectionnez l'onglet General (Général) pour configurer l'application Okta, comme indiqué dans le tableau ci-dessous:
    Paramètre Description
    URL d'authentification unique Spécifie l'URL de redirection vers Edge à utiliser après la saisie de ses informations d'identification Okta. Cette URL se présente au format suivant : 
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    Si vous prévoyez d'activer le protocole TLS sur apigee-sso:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    apigee_sso_IP_DNS est l'adresse IP ou le nom DNS du nœud hébergeant apigee-sso.

    Notez que cette URL est sensible à la casse et que l'authentification unique doit apparaître en majuscules.

    Si vous disposez d'un équilibreur de charge devant apigee-sso,spécifiez l'adresse IP ou le nom DNS de apigee-sso comme référencé via cet équilibreur de charge.
    Utilisez ce champ pour l'URL du destinataire et l'URL de destination Cochez cette case.
    URI d'audience (ID d'entité du fournisseur de services) Définir sur apigee-saml-login-opdk
    Default RelayState Ce champ peut être laissé vide.
    Format de l'ID du nom Spécifiez EmailAddress.
    Nom d'utilisateur de l'application Spécifiez Okta username.
    Instructions d'attribut (facultatif) Spécifiez FirstName, LastName et Email comme illustré dans l'image ci-dessous.

Une fois que vous avez terminé, la boîte de dialogue des paramètres SAML doit s'afficher comme suit: