Configurar seu IdP de SAML

A especificação SAML define três entidades:

  • Principal (usuário da interface do Edge)
  • Provedor de serviços (SSO da Apigee)
  • Provedor de identidade (retorna a declaração SAML)

Quando o SAML está ativado, o principal (um usuário da IU do Edge) solicita acesso ao provedor de serviços (SSO da Apigee). O SSO da Apigee (em seu papel como provedor de serviços SAML) solicita e recebe uma declaração de identidade do IDP SAML e a usa para criar o token OAuth2 necessário para acessar a IU do Edge. O usuário é redirecionado para a IU do Edge.

Esse processo é mostrado abaixo:

Neste diagrama:

  1. O usuário tenta acessar a IU do Edge fazendo uma solicitação para o URL de login da IU do Edge. Exemplo: https://edge_ui_IP_DNS:9000
  2. As solicitações não autenticadas são redirecionadas para o IdP SAML. Por exemplo, "https://idp.customer.com".
  3. Se o usuário não tiver feito login no provedor de identidade, ele vai precisar fazer login.
  4. O usuário faz login.
  5. O usuário é autenticado pelo IdP SAML, que gera uma declaração SAML 2.0 e a retorna ao SSO da Apigee.
  6. O SSO da Apigee valida a declaração, extrai a identidade do usuário da declaração, gera o token de autenticação do OAuth 2 para a interface do Edge e redireciona o usuário para a página principal da interface do Edge em: 
    https://edge_ui_IP_DNS:9000/platform/orgName

    Em que orgName é o nome de uma organização de Edge.

O Edge oferece suporte a vários IdPs, incluindo o Okta e os Serviços de Federação do Microsoft Active Directory (ADFS). Para informações sobre como configurar o ADFS para uso com o Edge, consulte Como configurar o Edge como uma parte confiável no IDP do ADFS. Para o Okta, consulte a seção a seguir.

Para configurar o IdP SAML, o Edge exige um endereço de e-mail para identificar o usuário. Portanto, o provedor de identidade precisa retornar um endereço de e-mail como parte da declaração de identidade.

Além disso, talvez você precise de alguns ou todos os itens a seguir:

Configuração Descrição
URL de metadados

O IdP de SAML pode exigir o URL de metadados do SSO da Apigee. O URL de metadados tem este formato:

protocol://apigee_sso_IP_DNS:port/saml/metadata

Exemplo:

http://apigee_sso_IP_or_DNS:9099/saml/metadata
URL de serviço de declaração de consumidor

Pode ser usado como o URL de redirecionamento de volta para o Edge depois que o usuário inserir as credenciais do IdP, no formato:

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

Exemplo:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

URL de logout único

É possível configurar o SSO da Apigee para aceitar o logout único. Consulte Configurar o logout único na IU do Edge para saber mais. O URL de logout único do SSO da Apigee tem este formato:

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

Exemplo:

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

O ID da entidade do SP (ou URI do público-alvo)

Para o SSO da Apigee:

apigee-saml-login-opdk

Como configurar o Okta

Para configurar o Okta:

  1. Faça login no Okta.
  2. Selecione Aplicativos e o aplicativo SAML.
  3. Selecione a guia Assignments (Atribuições) para adicionar usuários ao app. Esses usuários poderão fazer login na IU do Edge e fazer chamadas da API Edge. No entanto, é preciso primeiro adicionar cada usuário a uma organização de Edge e especificar o papel do usuário. Consulte Registrar novos usuários do Edge para saber mais.
  4. Selecione a guia Sign on para receber o URL de metadados do provedor de identidade. Armazene esse URL porque você precisa dele para configurar o Edge.
  5. Selecione a guia General para configurar o aplicativo Okta, conforme mostrado na tabela abaixo:
    Configuração Descrição
    URL de logon único Especifica o URL de redirecionamento de volta ao Edge para uso depois que o usuário inserir as credenciais do Okta. Esse URL está no formato: 
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    Se você planeja ativar o TLS no apigee-sso:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    Em que apigee_sso_IP_DNS é o endereço IP ou nome DNS do nó que hospeda apigee-sso.

    Esse URL diferencia maiúsculas de minúsculas, e o SSO precisa aparecer em letras maiúsculas.

    Se você tiver um balanceador de carga na frente de apigee-sso, especifique o endereço IP ou o nome DNS de apigee-sso, conforme referenciado pelo balanceador de carga.
    Use para URL do destinatário e URL de destino Marque esta caixa de seleção.
    URI do público-alvo (ID da entidade do SP) Definir como: apigee-saml-login-opdk
    RelayState padrão Pode ser deixado em branco.
    Formato do ID de nome Especifique EmailAddress.
    Nome de usuário do aplicativo Especifique Okta username.
    Instruções de atributos (opcional) Especifique FirstName, LastName e Email, como mostrado na imagem abaixo.

Quando você terminar, a caixa de diálogo de configurações de SAML será exibida como abaixo: