La especificación SAML define tres entidades:
- Principal (usuario de IU de Edge)
- Proveedor de servicios (SSO de Apigee)
- Proveedor de identidad (muestra una aserción de SAML)
Cuando se habilita SAML, la principal (un usuario de la IU de Edge) solicita acceso al proveedor de servicios (SSO de Apigee). El SSO de Apigee (en su función como proveedor de servicios de SAML) solicita y obtiene una aserción de identidad del IdP de SAML y la usa para crear el token de OAuth2 necesario para acceder a la IU de Edge. Luego, se redirecciona al usuario a la IU de Edge.
Este proceso se muestra a continuación:
En este diagrama, se ilustra lo siguiente:
- El usuario intenta acceder a la IU de Edge mediante una solicitud a la URL de acceso de la IU de Edge. Por ejemplo:
https://edge_UI_IP_DNS:9000 - Las solicitudes no autenticadas se redireccionan al IdP de SAML. Por ejemplo, "https://idp.customer.com".
- Si no accediste al IdP, se te solicitará que lo hagas.
El IdP de SAML te autentica.
El IdP de SAML genera y muestra una aserción SAML 2.0 al módulo SSO de Apigee.
- El SSO de Apigee valida la aserción, extrae la identidad del usuario de la aserción, genera el token de autenticación de OAuth 2 para la IU de Edge y redirecciona al usuario a la página principal de la IU de Edge en la siguiente URL:
https://edge_ui_IP_DNS:9000/platform/orgName
En el ejemplo anterior, orgName es el nombre de una organización de Edge.