Konfigurasikan IDP SAML

Spesifikasi SAML menetapkan tiga entitas:

  • Principal (pengguna Edge UI)
  • Penyedia layanan (SSO Apigee)
  • Penyedia identitas (menampilkan pernyataan SAML)

Jika SAML diaktifkan, akun utama (pengguna Edge UI) akan meminta akses ke penyedia layanan (SSO Apigee). Apigee SSO (dalam perannya sebagai penyedia layanan SAML) kemudian meminta dan memperoleh pernyataan identitas dari IDP SAML dan menggunakan pernyataan tersebut untuk membuat token OAuth2 yang diperlukan untuk mengakses UI Edge. Pengguna kemudian dialihkan ke UI Edge.

Proses ini ditampilkan di bawah ini:

Dalam diagram ini:

  1. Pengguna mencoba mengakses UI Edge dengan membuat permintaan ke URL login untuk UI Edge. Contoh: https://edge_ui_IP_DNS:9000
  2. Permintaan yang tidak diautentikasi akan dialihkan ke IDP SAML. Misalnya, "https://idp.customer.com".
  3. Jika pengguna tidak login ke penyedia identitas, mereka akan diminta untuk login.
  4. Pengguna login.
  5. Pengguna diautentikasi oleh IDP SAML, yang menghasilkan pernyataan SAML 2.0 dan mengembalikannya ke SSO Apigee.
  6. SSO Apigee memvalidasi pernyataan, mengekstrak identitas pengguna dari pernyataan, menghasilkan token autentikasi OAuth 2 untuk Edge UI, dan mengalihkan pengguna ke halaman Edge UI utama di: 
    https://edge_ui_IP_DNS:9000/platform/orgName

    Dengan orgName adalah nama organisasi Edge.

Edge mendukung banyak IDP, termasuk Okta dan Microsoft Active Directory Federation Services (ADFS). Untuk mengetahui informasi tentang cara mengonfigurasi ADFS agar dapat digunakan dengan Edge, lihat Mengonfigurasi Edge sebagai Relying Party di ADFS IDP. Untuk Okta, lihat bagian berikut.

Untuk mengonfigurasi IDP SAML, Edge memerlukan alamat email untuk mengidentifikasi pengguna. Oleh karena itu, penyedia identitas harus menampilkan alamat email sebagai bagian dari pernyataan identitas.

Selain itu, Anda mungkin memerlukan beberapa atau semua hal berikut:

Pembahasan Deskripsi
URL Metadata

IDP SAML mungkin memerlukan URL metadata SSO Apigee. URL metadata berbentuk berikut:

protocol://apigee_sso_IP_DNS:port/saml/metadata

Contoh:

http://apigee_sso_IP_or_DNS:9099/saml/metadata
URL Assertion Consumer Service

Dapat digunakan sebagai URL alihan untuk Edge setelah pengguna memasukkan kredensial IDP, dalam bentuk:

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

Contoh:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

URL logout tunggal

Anda dapat mengonfigurasi SSO Apigee untuk mendukung logout tunggal. Lihat Mengonfigurasi logout tunggal dari UI Edge untuk mengetahui informasi selengkapnya. URL logout tunggal SSO Apigee memiliki bentuk:

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

Contoh:

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

ID entitas SP (atau URI Audiens)

Untuk SSO Apigee:

apigee-saml-login-opdk

Mengonfigurasi Okta

Untuk mengonfigurasi Okta:

  1. Login ke Okta.
  2. Pilih Applications, lalu pilih aplikasi SAML.
  3. Pilih tab Assignments untuk menambahkan pengguna ke aplikasi. Pengguna ini akan dapat login ke UI Edge dan melakukan panggilan Edge API. Namun, Anda harus terlebih dahulu menambahkan setiap pengguna ke organisasi Edge dan menentukan peran pengguna tersebut. Lihat Mendaftarkan pengguna Edge baru untuk mengetahui informasi selengkapnya.
  4. Pilih tab Sign on untuk mendapatkan URL metadata Penyedia Identitas. Simpan URL tersebut karena Anda perlu mengonfigurasi Edge.
  5. Pilih tab General untuk mengonfigurasi aplikasi Okta, seperti yang ditunjukkan pada tabel di bawah:
    Pembahasan Deskripsi
    URL single sign on Menentukan URL alihan kembali ke Edge untuk digunakan setelah pengguna memasukkan kredensial Okta. URL ini berformat: 
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    Jika Anda berencana untuk mengaktifkan TLS di apigee-sso:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    Dengan apigee_sso_IP_DNS adalah alamat IP atau nama DNS node yang menghosting apigee-sso.

    Perhatikan bahwa URL ini peka huruf besar/kecil dan SSO harus muncul dalam huruf besar.

    Jika Anda memiliki load balancer di depan apigee-sso,tentukan alamat IP atau nama DNS apigee-sso seperti yang direferensikan melalui load balancer.
    Gunakan ini untuk URL Penerima dan URL Tujuan Centang kotak ini.
    URI Audiens (ID Entitas SP) Disetel ke apigee-saml-login-opdk
    RelayState Default Dapat dikosongkan.
    Format ID nama Tentukan EmailAddress
    Nama pengguna aplikasi Tentukan Okta username
    Pernyataan Atribut (Opsional) Tentukan FirstName, LastName, dan Email seperti yang ditunjukkan pada gambar di bawah.

Kotak dialog setelan SAML akan muncul seperti di bawah ini setelah Anda selesai: