กําหนดค่า SAML IDP

ข้อกำหนดของ SAML กำหนด 3 เอนทิตีดังนี้

• ผู้ใช้หลัก (ผู้ใช้ Edge UI)
• ผู้ให้บริการ (SSO ของ Apigee)
• ผู้ให้บริการข้อมูลประจำตัว (แสดงการยืนยันสิทธิ์ SAML)

เมื่อเปิดใช้ SAML ผู้ใช้หลัก (ผู้ใช้ Edge UI) จะขอสิทธิ์เข้าถึงผู้ให้บริการ (SSO ของ Apigee) Apigee SSO (ในบทบาทผู้ให้บริการ SAML) จากนั้นจะส่งคำขอและรับ การยืนยันข้อมูลประจำตัวจาก SAML IDP และใช้การยืนยันดังกล่าวเพื่อสร้างโทเค็น OAuth2 ที่ต้องใช้ในการเข้าถึง Edge UI จากนั้นระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยัง Edge UI

โดยกระบวนการมีดังนี้

ในแผนภาพนี้

1. ผู้ใช้พยายามเข้าถึง Edge UI โดยการส่งคำขอไปยัง URL สำหรับเข้าสู่ระบบสำหรับ Edge UI เช่น https://edge_ui_IP_DNS:9000
2. ระบบจะเปลี่ยนเส้นทางคำขอที่ไม่ได้ตรวจสอบสิทธิ์ไปยัง SAML IDP ตัวอย่างเช่น "https://idp.customer.com"
3. หากผู้ใช้ไม่ได้เข้าสู่ระบบผู้ให้บริการข้อมูลประจำตัว ระบบจะแจ้งให้บันทึก นิ้ว
4. ผู้ใช้เข้าสู่ระบบ
5. ผู้ใช้ผ่านการตรวจสอบสิทธิ์โดย SAML IDP ซึ่งจะสร้างการยืนยัน SAML 2.0 และแสดงผล ไปยัง SSO ของ Apigee
6. SSO ของ Apigee จะตรวจสอบการยืนยัน ดึงข้อมูลตัวตนของผู้ใช้จากการยืนยัน โทเค็นการตรวจสอบสิทธิ์ OAuth 2 สำหรับ Edge UI และเปลี่ยนเส้นทางผู้ใช้ไปยัง Edge UI หลัก หน้าเว็บที่:

   https://edge_ui_IP_DNS:9000/platform/orgName

   โดยที่ orgName คือชื่อขององค์กร Edge

Edge รองรับ IdP จำนวนมาก ซึ่งรวมถึง Okta และ Microsoft Active Directory Federation Services (ADFS) โปรดดูข้อมูลเกี่ยวกับการกำหนดค่า ADFS เพื่อใช้กับ Edge ในการกำหนดค่า Edge ในฐานะ Relying Party ใน ADFS IDP สำหรับ Okta โปรดดูส่วนต่อไปนี้

Edge ต้องใช้อีเมลเพื่อระบุผู้ใช้เพื่อกำหนดค่า IDP ของ SAML ดังนั้น ผู้ให้บริการข้อมูลประจำตัวจะต้องส่งคืนอีเมลเพื่อเป็นส่วนหนึ่งของการยืนยันตัวตน

นอกจากนี้ คุณอาจต้องดำเนินการต่อไปนี้เพียงบางส่วนหรือทั้งหมด

protocol://apigee_sso_IP_DNS:port/saml/metadata

http://apigee_sso_IP_or_DNS:9099/saml/metadata

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

apigee-saml-login-opdk

กำลังกำหนดค่า Okta

วิธีกำหนดค่า Okta

1. เข้าสู่ระบบ Okta
2. เลือก Applications แล้วเลือกแอปพลิเคชัน SAML
3. เลือกแท็บ Assignments เพื่อเพิ่มผู้ใช้ลงในแอปพลิเคชัน ผู้ใช้เหล่านี้ จะเข้าสู่ระบบ Edge UI และเรียก Edge API ได้ อย่างไรก็ตาม คุณต้องเพิ่มแต่ละองค์ประกอบก่อน ในองค์กร Edge และระบุบทบาทของผู้ใช้ โปรดดูข้อมูลเพิ่มเติมที่ลงทะเบียนผู้ใช้ Edge ใหม่
4. เลือกแท็บลงชื่อเข้าใช้เพื่อรับ URL ข้อมูลเมตาของผู้ให้บริการข้อมูลประจำตัว ร้านค้า URL ดังกล่าวเพราะคุณต้องใช้ในการกำหนดค่า Edge
5. เลือกแท็บ General เพื่อกำหนดค่าแอปพลิเคชัน Okta ดังที่แสดงใน ตารางด้านล่าง

   การตั้งค่า	คำอธิบาย
   URL การลงชื่อเพียงครั้งเดียว	ระบุ URL เปลี่ยนเส้นทางกลับไปยัง Edge เพื่อใช้งานหลังจากที่ผู้ใช้ป้อน Okta ของตน ข้อมูลเข้าสู่ระบบ โดย URL นี้จะอยู่ในรูปแบบต่อไปนี้ http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk หากคุณวางแผนที่จะเปิดใช้ TLS ใน apigee-sso ให้ทำดังนี้ https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk โดยที่ apigee_sso_IP_DNS คือที่อยู่ IP หรือชื่อ DNS ของ โหนดที่โฮสต์ apigee-sso โปรดทราบว่า URL นี้คำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่ และ SSO ต้องเป็นตัวพิมพ์ใหญ่ หากคุณมีตัวจัดสรรภาระงานอยู่ด้านหน้ากับ apigee-sso ให้ระบุ IP ที่อยู่หรือชื่อ DNS ของ apigee-sso ตามที่อ้างอิงผ่าน ตัวจัดสรรภาระงาน
   ใช้สำหรับ URL ของผู้รับและ URL ปลายทาง	เลือกช่องทำเครื่องหมายนี้
   URI กลุ่มเป้าหมาย (รหัสเอนทิตี SP)	ตั้งค่าเป็น apigee-saml-login-opdk
   RelayState เริ่มต้น	เว้นว่างไว้ได้
   รูปแบบรหัสชื่อ	ระบุ EmailAddress
   ชื่อผู้ใช้ของแอปพลิเคชัน	ระบุ Okta username
   ข้อความแอตทริบิวต์ (ไม่บังคับ)	ระบุ FirstName, LastName และ Email ตามที่แสดงในรูปภาพด้านล่าง

กล่องโต้ตอบการตั้งค่า SAML ควรปรากฏตามด้านล่างเมื่อเสร็จสิ้น