이 페이지는 Cloud Translation API를 통해 번역되었습니다.

SAML IDP 구성

SAML 사양은 세 가지 항목을 정의합니다.

주 구성원 (Edge UI 사용자)
서비스 제공업체 (Apigee SSO)
ID 공급업체 (SAML 어설션 반환)

SAML이 사용 설정되면 주 구성원 (Edge UI 사용자)이 서비스 제공업체(Apigee SSO)에 대한 액세스를 요청합니다. 그러면 Apigee SSO (SAML 서비스 제공업체 역할)가 SAML IDP에서 ID 어설션을 요청 및 가져오고 이 어설션을 사용하여 Edge UI에 액세스하는 데 필요한 OAuth2 토큰을 만듭니다. 그러면 사용자는 Edge UI로 리디렉션됩니다.

이 프로세스는 아래와 같습니다.

이 다이어그램에서,

사용자가 Edge UI의 로그인 URL을 요청하여 Edge UI에 액세스하려고 합니다. 예: https://edge_ui_IP_DNS:9000
인증되지 않은 요청은 SAML IDP로 리디렉션됩니다. 예: 'https://idp.customer.com'
사용자가 ID 공급업체에 로그인하지 않은 경우 로그인하라는 메시지가 표시됩니다.
사용자가 로그인합니다.
사용자는 SAML IDP를 통해 인증되며, IDP는 SAML 2.0 어설션을 생성하고 이를 Apigee SSO로 반환합니다.
Apigee SSO가 어설션을 검증하고, 어설션에서 사용자 ID를 추출하고, Edge UI용 OAuth 2 인증 토큰을 생성하고, 사용자를 기본 Edge UI 페이지(
```
https://edge_ui_IP_DNS:9000/platform/orgName
```
)로 리디렉션합니다.
여기서 orgName은 Edge 조직의 이름입니다.

Edge는 Okta 및 Microsoft Active Directory Federation Services(ADFS)를 비롯한 여러 IDP를 지원합니다. Edge와 함께 사용할 ADFS를 구성하는 방법에 대한 자세한 내용은 ADFS IDP에서 Edge를 신뢰 당사자로 구성을 참조하세요. Okta의 경우 다음 섹션을 참고하세요.

SAML IDP를 구성하기 위해 Edge에는 사용자를 식별할 수 있는 이메일 주소가 필요합니다. 따라서 ID 공급업체는 ID 어설션의 일부로 이메일 주소를 반환해야 합니다.

또한 다음 중 일부 또는 전체가 필요할 수 있습니다.

설정	설명
메타데이터 URL	SAML IDP에는 Apigee SSO의 메타데이터 URL이 필요할 수 있습니다. 메타데이터 URL의 형식은 다음과 같습니다. `protocol`://`apigee_sso_IP_DNS`:`port`/saml/metadata 예를 들면 다음과 같습니다. http://`apigee_sso_IP_or_DNS`:9099/saml/metadata
어설션 소비자 서비스 URL	사용자가 다음 형식으로 IDP 사용자 인증 정보를 입력한 후 Edge로 돌아가는 리디렉션 URL로 사용할 수 있습니다. `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SSO/alias/apigee-saml-login-opdk 예를 들면 다음과 같습니다. http://`apigee_sso_IP_or_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk
단일 로그아웃 URL	단일 로그아웃을 지원하도록 Apigee SSO를 구성할 수 있습니다. 자세한 내용은 Edge UI에서 싱글 로그아웃 구성을 참조하세요. Apigee SSO 단일 로그아웃 URL의 형식은 다음과 같습니다. `protocol`://`apigee_SSO_IP_DNS`:`port`/saml/SingleLogout/alias/apigee-saml-login-opdk 예를 들면 다음과 같습니다. http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk
SP 항목 ID (또는 대상 URI)	Apigee SSO의 경우: apigee-saml-login-opdk 참고: Apigee Edge SSO를 구성하는 동안 임의의 문자열을 SP 항목 ID로 사용할 수 있나요?의 커뮤니티 문서도 참조하세요.

Okta 구성

Okta를 구성하려면 다음 단계를 따르세요.

Okta에 로그인합니다.
Applications(애플리케이션)를 선택한 다음 SAML 애플리케이션을 선택합니다.
할당 탭을 선택하여 애플리케이션에 사용자를 추가합니다. 이러한 사용자는 Edge UI에 로그인하여 Edge API를 호출할 수 있습니다. 하지만 먼저 각 사용자를 Edge 조직에 추가하고 사용자 역할을 지정해야 합니다. 자세한 내용은 신규 Edge 사용자 등록을 참고하세요.
Sign on 탭을 선택하여 ID 공급업체 메타데이터 URL을 확인합니다. Edge를 구성하는 데 필요하므로 이 URL을 저장합니다.

아래 표와 같이 General 탭을 선택하여 Okta 애플리케이션을 구성합니다.

설정	설명
싱글 사인온(SSO) URL	사용자가 Okta 사용자 인증 정보를 입력한 후 사용할 리디렉션 URL을 Edge로 다시 지정합니다. 이 URL의 형식은 http://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk 입니다. `apigee-sso`에서 TLS를 사용 설정하려면 다음을 실행하세요. https://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk 여기서 `apigee_sso_IP_DNS`은 `apigee-sso`을 호스팅하는 노드의 IP 주소 또는 DNS 이름입니다. 이 URL은 대소문자를 구분하며 SSO는 대문자로 표시해야 합니다. `apigee-sso` 앞에 부하 분산기가 있으면 부하 분산기를 통해 참조되는 `apigee-sso`의 IP 주소 또는 DNS 이름을 지정합니다.
수신자 URL 및 도착 URL에 사용	이 체크박스를 설정합니다.
잠재고객 URI (SP 엔티티 ID)	`apigee-saml-login-opdk`로 설정
기본 RelayState	비워 둘 수 있습니다.
이름 ID 형식	`EmailAddress`를 지정합니다.
애플리케이션 사용자 이름	`Okta username`를 지정합니다.
속성 문 (선택사항)	아래 이미지와 같이 `FirstName`, `LastName`, `Email`를 지정합니다.

작업을 완료하면 SAML 설정 대화상자가 아래와 같이 표시됩니다.