SAML 规范定义了三个实体:
- 主账号(Edge UI 用户)
- 服务提供商 (Apigee SSO)
- 身份提供方(返回 SAML 断言)
启用 SAML 后,主账号(Edge 界面用户)会请求对服务提供商的访问权限 (Apigee 单点登录)。然后,Apigee SSO(作为 SAML 服务提供商)请求并获取 来自 SAML IDP 的身份断言,并使用该断言来创建 OAuth2 令牌 访问 Edge 界面所需的资源。然后,用户会被重定向到 Edge 界面。
此过程如下所示:
在此图中:
- 用户尝试通过向 Edge 的登录网址发出请求来访问 Edge 界面
界面。例如:
https://edge_ui_IP_DNS:9000
- 未经身份验证的请求会被重定向到 SAML IDP。例如: “https://idp.customer.com”。
- 如果用户未登录身份提供方,系统会提示他们登录 位置
- 用户登录。
- 用户通过 SAML IDP 进行身份验证,SAML IDP 会生成 SAML 2.0 断言并返回 将其迁移到 Apigee SSO。
- Apigee SSO 验证断言,从断言中提取用户身份,
用于 Edge 界面的 OAuth 2 身份验证令牌,并将用户重定向到 Edge 主界面
网页位置:
https://edge_ui_IP_DNS:9000/platform/orgName
其中,orgName 是 Edge 组织的名称。
Edge 支持许多 IDP,包括 Okta 和 Microsoft Active Directory Federation Services (ADFS)。如需了解如何配置 ADFS 以与 Edge 搭配使用,请参阅配置 在 ADFS IDP 中将 Edge 用作依赖方。对于 Okta,请参阅下一部分。
如要配置 SAML IDP,Edge 需要使用电子邮件地址来识别用户。因此, 身份提供方必须返回电子邮件地址作为身份断言的一部分。
此外,您可能还需要填写以下部分或全部信息:
设置 | 说明 |
---|---|
元数据网址 |
SAML IDP 可能需要 Apigee SSO 的元数据网址。元数据网址位于 表单: protocol://apigee_sso_IP_DNS:port/saml/metadata 例如: http://apigee_sso_IP_or_DNS:9099/saml/metadata |
Assertion Consumer Service 网址(断言消费者服务网址) |
可在用户输入其 IDP 后用作返回 Edge 的重定向网址 凭据,格式如下: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk 例如: http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
单一退出网址 |
您可以将 Apigee 单点登录配置为支持单次退出。请参阅 在 Edge 界面中配置单点登录 。Apigee SSO 单一退出网址的格式如下: protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk 例如: http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
SP 实体 ID(或受众群体 URI) |
对于 Apigee SSO: apigee-saml-login-opdk |
配置 Okta
如需配置 Okta,请执行以下操作:
- 登录 Okta。
- 选择 Applications(应用),然后选择您的 SAML 应用。
- 选择分配标签页,向该应用添加任何用户。这些用户 将能够登录 Edge 界面并进行 Edge API 调用。不过,您必须先将每个 将用户添加到 Edge 组织,并指定用户的角色。 如需了解详情,请参阅注册新的 Edge 用户。
- 选择 Sign on(登录)标签页,获取身份提供方元数据网址。实体店 因为您需要用它来配置 Edge。
- 选择 General 标签页以配置 Okta 应用,如
如下表所示:
设置 说明 单点登录网址 指定返回 Edge 的重定向网址,以便在用户输入其 Okta 后使用 凭据。此网址的格式如下: http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
如果您打算在
apigee-sso
上启用 TLS,请执行以下操作:https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
其中,apigee_sso_IP_DNS 是 IP 地址或 DNS 名称 托管“
apigee-sso
”的节点。请注意,此网址区分大小写,而且 SSO 必须以大写字母显示。
如果您在
apigee-sso
前面有一个负载平衡器,请指定 IP 地址apigee-sso
的地址或 DNS 名称(通过 进行负载均衡器将其用于收件人网址和目标网址 设置此复选框。 受众群体 URI(SP 实体 ID) 设置为 apigee-saml-login-opdk
默认 RelayState 可以留空。 名称 ID 格式 指定 EmailAddress
。应用用户名 指定 Okta username
。属性语句(可选) 指定 FirstName
、LastName
和Email
,如下图所示。
完成后,SAML 设置对话框应如下所示: