Ta strona została przetłumaczona przez Cloud Translation API.

Konfigurowanie dostawcy tożsamości SAML

Specyfikacja SAML definiuje 3 encje:

Podmiot zabezpieczeń (użytkownik interfejsu Edge)
Dostawca usług (logowanie jednokrotne Apigee)
Dostawca tożsamości (zwraca potwierdzenie SAML)

Gdy SAML jest włączona, podmiot zabezpieczeń (użytkownik interfejsu Edge) prosi o dostęp do dostawcy usług (logowania jednokrotnego Apigee). Logowanie jednokrotne Apigee (w swojej roli jako dostawcy usługi SAML) wysyła żądanie i uzyskuje potwierdzenie tożsamości od dostawcy tożsamości SAML i wykorzystuje to potwierdzenie do utworzenia tokena OAuth2 wymaganego do uzyskania dostępu do interfejsu Edge. Następnie użytkownik zostaje przekierowany do interfejsu Edge.

Proces ten wygląda tak:

Na tym diagramie:

Użytkownik próbuje uzyskać dostęp do interfejsu Edge, wysyłając żądanie na adres URL logowania w interfejsie Edge. Na przykład: https://edge_ui_IP_DNS:9000
Nieuwierzytelnione żądania są przekierowywane do dostawcy tożsamości SAML. Na przykład: „https://idp.customer.com”.
Jeśli użytkownik nie jest zalogowany u dostawcy tożsamości, pojawia się prośba o zalogowanie.
Użytkownik się loguje.
Użytkownik jest uwierzytelniony przez dostawcę tożsamości SAML, który generuje potwierdzenie SAML 2.0 i zwraca je do logowania jednokrotnego Apigee.
Logowanie jednokrotne w Apigee weryfikuje potwierdzenie, wyodrębnia tożsamość użytkownika z asercji, generuje token uwierzytelniania OAuth 2 dla interfejsu użytkownika Edge i przekierowuje użytkownika na główną stronę interfejsu Edge pod adresem:
```
https://edge_ui_IP_DNS:9000/platform/orgName
```
Gdzie orgName to nazwa organizacji Edge.

Edge obsługuje wiele dostawców tożsamości, w tym Okta i Microsoft Active Directory Federation Services (ADFS). Informacje o konfigurowaniu ADFS do użytku z Edge znajdziesz w artykule o konfigurowaniu Edge jako strony uzależnionej w dostawcy tożsamości ADFS. Okta znajdziesz poniżej.

Aby skonfigurować dostawcę tożsamości SAML, Edge wymaga adresu e-mail do zidentyfikowania użytkownika. Dlatego w ramach potwierdzenia tożsamości dostawca tożsamości musi zwracać adres e-mail.

Mogą też być wymagane niektóre lub wszystkie z tych elementów:

lokalizacji,	Opis
URL metadanych	Dostawca tożsamości SAML może wymagać adresu URL metadanych logowania jednokrotnego Apigee. Adres URL metadanych ma postać: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/metadata Na przykład: http://`apigee_sso_IP_or_DNS`:9099/saml/metadata
Assertion Consumer Service URL (URL usługi konsumenta potwierdzenia)	Może być używany jako adres URL przekierowania z powrotem do Edge po wpisaniu przez użytkownika danych logowania dostawcy tożsamości w formacie: `protocol`://`apigee_sso_IP_DNS`:`port`/saml/SSO/alias/apigee-saml-login-opdk Na przykład: http://`apigee_sso_IP_or_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk
URL wylogowania pojedynczego	Możesz skonfigurować logowanie jednokrotne w Apigee tak, aby obsługiwało pojedyncze wylogowanie. Więcej informacji znajdziesz w artykule o konfigurowaniu logowania jednokrotnego w interfejsie użytkownika Edge. Adres URL wylogowania jednokrotnego logowania Apigee ma postać: `protocol`://`apigee_SSO_IP_DNS`:`port`/saml/SingleLogout/alias/apigee-saml-login-opdk Na przykład: http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk
Identyfikator jednostki dostawcy usług (lub identyfikator URI odbiorców)	W przypadku logowania jednokrotnego w Apigee: apigee-saml-login-opdk Uwaga: przeczytaj też ten artykuł na temat społeczności: Czy podczas konfigurowania logowania jednokrotnego w Apigee Edge mogę użyć dowolnego ciągu jako identyfikatora jednostki dostawcy usług?

Konfigurowanie Okta

Aby skonfigurować Okta:

Zaloguj się w Okta.
Wybierz Aplikacje i wybierz aplikację SAML.
Wybierz kartę Przypisania, aby dodać użytkowników do aplikacji. Ten użytkownik będzie mógł logować się w interfejsie użytkownika Edge i wykonywać wywołania interfejsu Edge API. Musisz jednak najpierw dodać każdego użytkownika do organizacji Edge i określić jego rolę. Więcej informacji znajdziesz w artykule Rejestrowanie nowych użytkowników Edge.
Wybierz kartę Sign on (Logowanie), aby uzyskać adres URL metadanych dostawcy tożsamości. Zapisz ten adres URL, ponieważ jest on potrzebny do skonfigurowania Edge.

Wybierz kartę Ogólne, aby skonfigurować aplikację Okta, jak pokazano w tej tabeli:

lokalizacji,	Opis
URL logowania jednokrotnego	Określa adres URL przekierowania z powrotem do Edge, który będzie używany po wpisaniu przez użytkownika danych logowania Okta. Adres URL ma postać: http://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk Jeśli planujesz włączyć TLS w domenie `apigee-sso`: https://`apigee_sso_IP_DNS`:9099/saml/SSO/alias/apigee-saml-login-opdk Gdzie `apigee_sso_IP_DNS` to adres IP lub nazwa DNS węzła hostującego `apigee-sso`. Pamiętaj, że w tym adresie URL rozróżniana jest wielkość liter, a nazwa SSO musi być pisana wielkimi literami. Jeśli masz system równoważenia obciążenia przed `apigee-sso`, podaj adres IP lub nazwę DNS jednostki `apigee-sso`, do której odwołuje się system równoważenia obciążenia.
Użyj tej opcji w przypadku adresu URL odbiorcy i docelowego adresu URL	Zaznacz to pole wyboru.
Identyfikator URI odbiorców (identyfikator jednostki dostawcy usług)	Ustawiono: `apigee-saml-login-opdk`
Default RelayState	Możesz pozostawić to pole puste.
Format identyfikatora nazwy	Określ `EmailAddress`.
Nazwa użytkownika aplikacji	Określ `Okta username`.
Wyrażenia dotyczące atrybutów (opcjonalne)	Określ `FirstName`, `LastName` i `Email`, jak pokazano na poniższym obrazie.

Gdy skończysz, okno ustawień SAML powinno wyglądać tak: