配置 SAML IdP

SAML 规范定义了三个实体:

  • 主账号(Edge UI 用户)
  • 服务提供商 (Apigee SSO)
  • 身份提供方(返回 SAML 断言)

启用 SAML 后,主账号(Edge 界面用户)会请求对服务提供商的访问权限 (Apigee 单点登录)。然后,Apigee SSO(作为 SAML 服务提供商)请求并获取 来自 SAML IDP 的身份断言,并使用该断言来创建 OAuth2 令牌 访问 Edge 界面所需的资源。然后,用户会被重定向到 Edge 界面。

此过程如下所示:

在此图中:

  1. 用户尝试通过向 Edge 的登录网址发出请求来访问 Edge 界面 界面。例如:https://edge_ui_IP_DNS:9000
  2. 未经身份验证的请求会被重定向到 SAML IDP。例如: “https://idp.customer.com”。
  3. 如果用户未登录身份提供方,系统会提示他们登录 位置
  4. 用户登录。
  5. 用户通过 SAML IDP 进行身份验证,SAML IDP 会生成 SAML 2.0 断言并返回 将其迁移到 Apigee SSO。
  6. Apigee SSO 验证断言,从断言中提取用户身份, 用于 Edge 界面的 OAuth 2 身份验证令牌,并将用户重定向到 Edge 主界面 网页位置: 
    https://edge_ui_IP_DNS:9000/platform/orgName

    其中,orgName 是 Edge 组织的名称。

Edge 支持许多 IDP,包括 Okta 和 Microsoft Active Directory Federation Services (ADFS)。如需了解如何配置 ADFS 以与 Edge 搭配使用,请参阅配置 在 ADFS IDP 中将 Edge 用作依赖方。对于 Okta,请参阅下一部分。

如要配置 SAML IDP,Edge 需要使用电子邮件地址来识别用户。因此, 身份提供方必须返回电子邮件地址作为身份断言的一部分。

此外,您可能还需要填写以下部分或全部信息:

设置 说明
元数据网址

SAML IDP 可能需要 Apigee SSO 的元数据网址。元数据网址位于 表单:

protocol://apigee_sso_IP_DNS:port/saml/metadata

例如:

http://apigee_sso_IP_or_DNS:9099/saml/metadata
Assertion Consumer Service 网址(断言消费者服务网址)

可在用户输入其 IDP 后用作返回 Edge 的重定向网址 凭据,格式如下:

protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk

例如:

http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

单一退出网址

您可以将 Apigee 单点登录配置为支持单次退出。请参阅 在 Edge 界面中配置单点登录 。Apigee SSO 单一退出网址的格式如下:

protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk

例如:

http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk

SP 实体 ID(或受众群体 URI)

对于 Apigee SSO:

apigee-saml-login-opdk

配置 Okta

如需配置 Okta,请执行以下操作

  1. 登录 Okta。
  2. 选择 Applications(应用),然后选择您的 SAML 应用。
  3. 选择分配标签页,向该应用添加任何用户。这些用户 将能够登录 Edge 界面并进行 Edge API 调用。不过,您必须先将每个 将用户添加到 Edge 组织,并指定用户的角色。 如需了解详情,请参阅注册新的 Edge 用户
  4. 选择 Sign on(登录)标签页,获取身份提供方元数据网址。实体店 因为您需要用它来配置 Edge。
  5. 选择 General 标签页以配置 Okta 应用,如 如下表所示:
    设置 说明
    单点登录网址 指定返回 Edge 的重定向网址,以便在用户输入其 Okta 后使用 凭据。此网址的格式如下: 
    http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    如果您打算在 apigee-sso 上启用 TLS,请执行以下操作:

    https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk

    其中,apigee_sso_IP_DNS 是 IP 地址或 DNS 名称 托管“apigee-sso”的节点。

    请注意,此网址区分大小写,而且 SSO 必须以大写字母显示。

    如果您在 apigee-sso 前面有一个负载平衡器,请指定 IP 地址 apigee-sso 的地址或 DNS 名称(通过 进行负载均衡器
    将其用于收件人网址和目标网址 设置此复选框。
    受众群体 URI(SP 实体 ID) 设置为 apigee-saml-login-opdk
    默认 RelayState 可以留空。
    名称 ID 格式 指定 EmailAddress
    应用用户名 指定 Okta username
    属性语句(可选) 指定 FirstNameLastNameEmail,如下图所示。

完成后,SAML 设置对话框应如下所示: