La spécification SAML définit trois entités :
- Compte principal (utilisateur de l'interface utilisateur Edge)
- Fournisseur de services (SSO Apigee)
- Fournisseur d'identité (renvoie l'assertion SAML)
Lorsque SAML est activé, le compte principal (un utilisateur de l'interface utilisateur Edge) demande l'accès au fournisseur de services (authentification unique Apigee). Apigee SSO (en tant que fournisseur de services SAML) demande et obtient ensuite une assertion d'identité auprès de l'IDP SAML et utilise cette assertion pour créer le jeton OAuth2 requis pour accéder à l'interface utilisateur Edge. L'utilisateur est ensuite redirigé vers l'interface utilisateur Edge.
Ce processus est illustré ci-dessous:
Dans ce diagramme :
- L'utilisateur tente d'accéder à l'interface utilisateur Edge en envoyant une requête à l'URL de connexion pour l'interface utilisateur Edge. Par exemple :
https://edge_ui_IP_DNS:9000
- Les requêtes non authentifiées sont redirigées vers l'IdP SAML. Exemple : "https://idp.customer.com".
- Si l'utilisateur n'est pas connecté au fournisseur d'identité, il est invité à se connecter.
- L'utilisateur se connecte.
- L'utilisateur est authentifié par l'IdP SAML, qui génère une assertion SAML 2.0 et la renvoie à l'authentification unique Apigee.
- Apigee SSO valide l'assertion, extrait l'identité de l'utilisateur de l'assertion, génère le jeton d'authentification OAuth 2 pour l'interface utilisateur Edge et redirige l'utilisateur vers la page principale de l'interface utilisateur Edge à l'adresse :
https://edge_ui_IP_DNS:9000/platform/orgName
Où orgName est le nom d'une organisation Edge.
Edge est compatible avec de nombreux IdP, y compris Okta et les services de fédération Microsoft Active Directory (ADFS). Pour plus d'informations sur la configuration d'ADFS pour une utilisation avec Edge, consultez la page Configurer Edge en tant que partie de confiance dans ADFS IDP. Pour Okta, consultez la section suivante.
Pour configurer votre IdP SAML, Edge a besoin d'une adresse e-mail pour identifier l'utilisateur. Par conséquent, le fournisseur d'identité doit renvoyer une adresse e-mail dans l'assertion d'identité.
En outre, vous aurez peut-être besoin d'une partie ou de la totalité des éléments suivants:
Paramètre | Description |
---|---|
URL des métadonnées |
L'IdP SAML peut nécessiter l'URL de métadonnées de l'authentification unique Apigee. L'URL des métadonnées se présente sous la forme suivante: protocol://apigee_sso_IP_DNS:port/saml/metadata Exemple : http://apigee_sso_IP_or_DNS:9099/saml/metadata |
Assertion Consumer Service URL (URL du service ACS) |
Peut être utilisée comme URL de redirection vers Edge après que l'utilisateur a saisi ses identifiants de fournisseur d'identité, sous la forme: protocol://apigee_sso_IP_DNS:port/saml/SSO/alias/apigee-saml-login-opdk Exemple : http://apigee_sso_IP_or_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk |
URL de déconnexion unique |
Vous pouvez configurer l'authentification unique Apigee de sorte qu'elle autorise la déconnexion unique. Pour plus d'informations, consultez la section Configurer la déconnexion unique à partir de l'interface utilisateur Edge. L'URL de déconnexion unique Apigee SSO se présente sous la forme suivante: protocol://apigee_SSO_IP_DNS:port/saml/SingleLogout/alias/apigee-saml-login-opdk Exemple : http://1.2.3.4:9099/saml/SingleLogout/alias/apigee-saml-login-opdk |
ID d'entité du fournisseur de services (ou URI d'audience) |
Pour l'authentification unique Apigee: apigee-saml-login-opdk |
Configurer Okta
Pour configurer Okta:
- Connectez-vous à Okta.
- Sélectionnez Applications, puis votre application SAML.
- Sélectionnez l'onglet Assignments (Attributions) pour ajouter des utilisateurs à l'application. Ces utilisateurs pourront se connecter à l'interface utilisateur Edge et effectuer des appels d'API Edge. Cependant, vous devez d'abord ajouter chaque utilisateur à une organisation Edge et spécifier le rôle de l'utilisateur. Pour en savoir plus, consultez la section Enregistrer de nouveaux utilisateurs Edge.
- Sélectionnez l'onglet Sign on (Connexion) pour obtenir l'URL des métadonnées du fournisseur d'identité. Stockez cette URL, car vous en aurez besoin pour configurer Edge.
- Sélectionnez l'onglet General (Général) pour configurer l'application Okta, comme indiqué dans le tableau ci-dessous:
Paramètre Description URL d'authentification unique Spécifie l'URL de redirection vers Edge à utiliser après la saisie de ses informations d'identification Okta. Cette URL se présente au format suivant : http://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
Si vous prévoyez d'activer le protocole TLS sur
apigee-sso
:https://apigee_sso_IP_DNS:9099/saml/SSO/alias/apigee-saml-login-opdk
Où apigee_sso_IP_DNS est l'adresse IP ou le nom DNS du nœud hébergeant
apigee-sso
.Notez que cette URL est sensible à la casse et que l'authentification unique doit apparaître en majuscules.
Si vous disposez d'un équilibreur de charge devant
apigee-sso
,spécifiez l'adresse IP ou le nom DNS deapigee-sso
comme référencé via cet équilibreur de charge.Utilisez ce champ pour l'URL du destinataire et l'URL de destination Cochez cette case. URI d'audience (ID d'entité du fournisseur de services) Définir sur apigee-saml-login-opdk
Default RelayState Ce champ peut être laissé vide. Format de l'ID du nom Spécifiez EmailAddress
.Nom d'utilisateur de l'application Spécifiez Okta username
.Instructions d'attribut (facultatif) Spécifiez FirstName
,LastName
etEmail
comme illustré dans l'image ci-dessous.
Une fois que vous avez terminé, la boîte de dialogue des paramètres SAML doit s'afficher comme suit: