Configura l'IdP SAML

La specifica SAML definisce tre entità:

  • Entità (utente Edge UI)
  • Fornitore di servizi (SSO Apigee)
  • Provider di identità (restituisce l'asserzione SAML)

Quando SAML è abilitato, l'entità (un utente della UI perimetrale) richiede l'accesso al fornitore di servizi (SSO di Apigee). Apigee SSO (nel suo ruolo di fornitore di servizi SAML) richiede quindi e recupera un'asserzione dell'identità dall'IDP SAML e la utilizza per creare il token OAuth2 necessario per accedere all'interfaccia utente Edge. L'utente viene quindi reindirizzato all'interfaccia utente Edge.

Questa procedura è illustrata di seguito:

In questo diagramma:

  1. L'utente tenta di accedere all'UI Edge inviando una richiesta all'URL di accesso per la UI perimetrale. Ad esempio: https://edge_ui_IP_DNS:9000
  2. Le richieste non autenticate vengono reindirizzate all'IdP SAML. Ad esempio, "https://idp.customer.com".
  3. Se l'utente non ha eseguito l'accesso al provider di identità, gli verrà richiesto di eseguire l'accesso.
  4. L'utente esegue l'accesso.
  5. L'utente viene autenticato dall'IdP SAML, che genera un'asserzione SAML 2.0 e la restituisce all'accesso SSO di Apigee.
  6. Apigee SSO convalida l'asserzione, estrae l'identità utente dall'asserzione, genera il token di autenticazione OAuth 2 per la UI Edge e reindirizza l'utente alla pagina principale della UI Edge all'indirizzo: 
    https://edge_ui_IP_DNS:9000/platform/orgName

    Dove orgName è il nome di un'organizzazione Edge.

Edge supporta molti IdP, tra cui Okta e Microsoft Active Directory Federation Services (ADFS). Per informazioni sulla configurazione di ADFS per l'utilizzo con Edge, consulta Configurazione di Edge come Parte attendibile in ADFS IdP. Per Okta, consulta la sezione seguente.

Per configurare il tuo IdP SAML, Edge richiede un indirizzo email per identificare l'utente. Di conseguenza, il provider di identità deve restituire un indirizzo email come parte dell'asserzione dell'identità.

Inoltre, potrebbero essere necessari alcuni o tutti i seguenti elementi:

Impostazione Descrizione
URL dei metadati

L'IdP SAML potrebbe richiedere l'URL dei metadati dell'SSO Apigee. L'URL dei metadati ha il seguente formato:

protocol://apigee_sso_IP_DNS:port/saml/metadata

Ad esempio:

http://apigee_sso_IP_or_DNS:9099/saml/metadata
URL Assertion Consumer Service

Può essere utilizzato come URL di reindirizzamento a Edge dopo che l'utente ha inserito le credenziali IdP nel formato:

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

Ad esempio:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

URL di disconnessione singolo

Puoi configurare il servizio SSO di Apigee per supportare l'uscita singola. Per saperne di più, consulta Configurare il Single Sign-out da Edge UI (UI Edge). L'URL di disconnessione singola SSO di Apigee ha il seguente formato:

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

Ad esempio:

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

L'ID entità SP (o l'URI pubblico)

Per Apigee SSO:

apigee-saml-login-opdk

Configurazione di Okta in corso...

Per configurare Okta:

  1. Accedi a Okta.
  2. Seleziona Applications (Applicazioni), quindi la tua applicazione SAML.
  3. Seleziona la scheda Compiti per aggiungere utenti all'applicazione. Questi utenti potranno accedere all'interfaccia utente Edge ed effettuare chiamate API Edge. Tuttavia, devi prima aggiungere ciascun utente a un'organizzazione Edge e specificare il ruolo dell'utente. Per saperne di più, consulta Registrare nuovi utenti di Edge.
  4. Seleziona la scheda Sign on (Accedi) per ottenere l'URL dei metadati del provider di identità. Archivia quell'URL perché ti serve per configurare Edge.
  5. Seleziona la scheda Generale per configurare l'applicazione Okta, come mostrato nella tabella seguente:
    Impostazione Descrizione
    URL Single Sign-On Specifica l'URL di reindirizzamento a Edge per utilizzarlo dopo che l'utente avrà inserito le credenziali Okta. L'URL ha il seguente formato: 
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    Se prevedi di attivare TLS su apigee-sso:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    Dove apigee_sso_IP_DNS è l'indirizzo IP o il nome DNS del nodo che ospita apigee-sso.

    Tieni presente che questo URL è sensibile alle maiuscole e che SSO deve essere scritto in maiuscolo.

    Se disponi di un bilanciatore del carico davanti a apigee-sso,specifica l'indirizzo IP o il nome DNS di apigee-sso come indicato tramite il bilanciatore del carico.
    Da utilizzare per l'URL del destinatario e l'URL di destinazione Imposta questa casella di controllo.
    URI pubblico (ID entità SP) Impostato su apigee-saml-login-opdk
    RelayState predefinito Può essere lasciato vuoto.
    Formato ID nome Specifica EmailAddress.
    Nome utente dell'applicazione Specifica Okta username.
    (Facoltativo) Dichiarazioni relative agli attributi Specifica FirstName, LastName e Email come mostrato nell'immagine di seguito.

Al termine dell'operazione, la finestra di dialogo delle impostazioni SAML dovrebbe essere visualizzata come segue: