SAML IdP'nizi yapılandırma

SAML spesifikasyonunda üç varlık tanımlanır:

  • Ana (Edge kullanıcı arayüzü kullanıcısı)
  • Servis sağlayıcı (Apigee TOA)
  • Kimlik sağlayıcı (SAML onaylama döndürür)

SAML etkinleştirildiğinde ana hesap (bir Edge kullanıcı arayüzü kullanıcısı) servis sağlayıcıya (Apigee TOA) erişim ister. Ardından Apigee TOA (SAML servis sağlayıcı olarak), SAML IDP'sinden bir kimlik onayı talep edip alır ve bu onayı kullanarak Edge kullanıcı arayüzüne erişmek için gereken OAuth2 jetonunu oluşturur. Kullanıcı, bunun ardından Edge kullanıcı arayüzüne yönlendirilir.

Bu işlem aşağıda gösterilmiştir:

Bu şemada:

  1. Kullanıcı, Edge kullanıcı arayüzünün giriş URL'sine bir istekte bulunarak Edge kullanıcı arayüzüne erişmeye çalışır. Örneğin: https://edge_ui_IP_DNS:9000
  2. Kimliği doğrulanmamış istekler SAML IDP'sine yönlendirilir. Örneğin, "https://idp.customer.com".
  3. Kullanıcı kimlik sağlayıcıya giriş yapmamışsa giriş yapması istenir.
  4. Kullanıcı giriş yapar.
  5. Kullanıcının kimliği SAML IDP tarafından doğrulanır. SAML 2.0 onayı oluşturur ve kullanıcı bu onayı Apigee TOA'ya döndürür.
  6. Apigee TOA; onayı doğrular, onaylama işleminden kullanıcı kimliğini çıkarır, Edge kullanıcı arayüzü için OAuth 2 kimlik doğrulama jetonu oluşturur ve kullanıcıyı şu konumdaki ana Edge kullanıcı arayüzü sayfasına yönlendirir: 
    https://edge_ui_IP_DNS:9000/platform/orgName

    Burada orgName, bir EDGE kuruluşunun adıdır.

Edge, Okta ve Microsoft Active Directory Federasyon Hizmetleri (ADFS) dahil birçok IDP'yi destekler. ADFS'yi Edge ile kullanılmak üzere yapılandırma hakkında bilgi edinmek için EdFS'i ADFS IDP'sinde Relying Party olarak yapılandırma sayfasına bakın. Okta için aşağıdaki bölüme bakın.

SAML IDP'nizi yapılandırmak için Edge'in kullanıcıyı tanımlamak üzere bir e-posta adresine ihtiyacı vardır. Bu nedenle, kimlik sağlayıcının, kimlik onayı işleminin parçası olarak bir e-posta adresi döndürmesi gerekir.

Ayrıca, aşağıdakilerden bazılarını veya tümünü gerekebilir:

Ayar Açıklama
Meta veri URL'si

SAML IDP, Apigee TOA'nın meta veri URL'sini gerektirebilir. Meta veri URL'si şu biçimdedir:

protocol://apigee_sso_IP_DNS:port/saml/metadata

Örneğin:

http://apigee_sso_IP_or_DNS:9099/saml/metadata
Assertion Consumer Service URL (Onaylama Tüketici Hizmeti URL'si)

Kullanıcı IDP kimlik bilgilerini aşağıdaki formda girdikten sonra Edge'e geri yönlendirme URL'si olarak kullanılabilir:

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

Örneğin:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

Tek çıkış URL'si

Apigee TOA'yı tekli çıkış yapmayı destekleyecek şekilde yapılandırabilirsiniz. Daha fazla bilgi için Edge kullanıcı arayüzünden tek oturum açmayı yapılandırma bölümüne bakın. Apigee TOA tek çıkış URL'si şu biçimdedir:

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

Örneğin:

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

SP varlık kimliği (veya Kitle URI'si)

Apigee TOA için:

apigee-saml-login-opdk

Okta'yı yapılandırma

Okta'yı yapılandırmak için:

  1. Okta'ya giriş yapın.
  2. Applications'ı (Uygulamalar) ve ardından SAML uygulamanızı seçin.
  3. Uygulamaya kullanıcı eklemek için Assignments (Ödevler) sekmesini seçin. Bu kullanıcılar, Edge kullanıcı arayüzüne giriş yapabilecek ve Edge API çağrıları yapabilecektir. Ancak öncelikle her kullanıcıyı bir EDGE kuruluşuna eklemeniz ve kullanıcının rolünü belirtmeniz gerekir. Daha fazla bilgi için Yeni Edge kullanıcılarını kaydetme başlıklı makaleye bakın.
  4. Kimlik Sağlayıcı meta veri URL'sini almak için Oturum aç sekmesini seçin. Edge'i yapılandırmak için ihtiyacınız olduğundan bu URL'yi depolayın.
  5. Aşağıdaki tabloda gösterildiği gibi, Okta uygulamasını yapılandırmak için Genel sekmesini seçin:
    Ayar Açıklama
    Tek oturum açma URL'si Kullanıcı Okta kimlik bilgilerini girdikten sonra kullanılmak üzere Edge'e geri yönlendirme URL'sini belirtir. Bu URL şu biçimdedir: 
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    apigee-sso ürününde TLS'yi etkinleştirmeyi planlıyorsanız:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    Burada apigee_sso_IP_DNS, apigee-sso alanını barındıran düğümün IP adresi veya DNS adıdır.

    Bu URL'nin büyük/küçük harfe duyarlı olduğunu ve TOA'nın büyük harfle gösterilmesi gerektiğini unutmayın.

    apigee-sso projesinin önünde bir yük dengeleyiciniz varsa yük dengeleyicide başvurulduğu şekilde apigee-sso IP adresini veya DNS adını belirtin.
    Alıcı URL'si ve Hedef URL için bunu kullanın Bu onay kutusunu işaretleyin.
    Kitle URI'si (SP Varlık Kimliği) apigee-saml-login-opdk olarak ayarlandı
    Varsayılan RelayState Boş bırakılabilir.
    Ad kimliği biçimi EmailAddress belirtin.
    Uygulama kullanıcı adı Okta username belirtin.
    Özellik İfadeleri (İsteğe bağlı) FirstName, LastName ve Email değerlerini aşağıdaki resimde gösterildiği gibi belirtin.

İşlemi tamamladığınızda SAML ayarları iletişim kutusu aşağıdaki gibi görünecektir: