La spécification SAML définit trois entités :
- Compte principal (utilisateur de l'interface utilisateur Edge)
- Fournisseur de services (SSO Apigee)
- Fournisseur d'identité (renvoie une assertion SAML)
Lorsque SAML est activé, le compte principal (un utilisateur de l'interface utilisateur Edge) demande l'accès au fournisseur de services (authentification unique Apigee). Apigee SSO (en tant que fournisseur de services SAML) demande et obtient ensuite une assertion d'identité auprès de l'IDP SAML et utilise cette assertion pour créer le jeton OAuth2 requis pour accéder à l'interface utilisateur Edge. L'utilisateur est ensuite redirigé vers l'interface utilisateur Edge.
Ce processus est illustré ci-dessous:
Dans ce diagramme :
- L'utilisateur tente d'accéder à l'interface utilisateur Edge en envoyant une requête à l'URL de connexion pour l'interface utilisateur Edge. Par exemple :
https://edge_UI_IP_DNS:9000 - Les requêtes non authentifiées sont redirigées vers l'IdP SAML. Exemple : "https://idp.customer.com".
- Si vous n'êtes pas connecté à l'IdP, vous êtes invité à le faire.
Vous êtes authentifié par l'IdP SAML.
L'IdP SAML génère et renvoie une assertion SAML 2.0 au module SSO Apigee.
- Apigee SSO valide l'assertion, extrait l'identité de l'utilisateur de l'assertion, génère le jeton d'authentification OAuth 2 pour l'interface utilisateur Edge et redirige l'utilisateur vers la page principale de l'interface utilisateur Edge à l'URL suivante :
https://edge_ui_IP_DNS:9000/platform/orgName
Où orgName est le nom d'une organisation Edge.