設定識別資訊提供者

本頁適用於 ApigeeApigee Hybrid

查看 Apigee Edge 說明文件。

針對整合式入口網站,您可以定義識別資訊提供者,以支援下表中定義的驗證類型。

驗證類型 說明
內建

要求使用者將憑證 (使用者名稱和密碼) 傳送至整合式入口網站進行驗證。建立新入口網站時,系統會設定並啟用內建的 ID 提供者。

如要從使用者角度瞭解登入體驗,請參閱「使用使用者憑證登入入口網站 (內建提供者)」。
SAML (預先發布版)

安全宣告標記語言 (SAML) 是單一登入 (SSO) 環境的標準通訊協定。使用 SAML 進行 SSO 驗證後,使用者就能登入 Apigee 整合式入口網站,而不必建立新帳戶。使用者必須使用集中管理的帳戶憑證登入。

如要從使用者角度瞭解登入體驗,請參閱「使用 SAML 驗證登入入口網站 (預先發布版)」。

整合式入口網站的 SAML 驗證優點

將 SAML 設為整合式入口網站的識別資訊提供者,可享有下列優點:

  • 只要設定一次開發人員計畫,就能在多個整合式入口網站中重複使用。建立整合式入口網站時,請選擇開發人員計畫。隨著需求變化,輕鬆更新或變更開發人員計畫。
  • 全面控管使用者管理 將貴公司的 SAML 伺服器連結至整合式入口網站。當使用者離開貴機構並由您集中停用權限後,就無法再透過 SSO 服務驗證,以便使用整合式入口網站。

設定內建的識別資訊提供者

按照後續各節的說明設定內建身分識別提供者。

存取「內建識別資訊提供者」頁面

如要存取內建的 ID 提供者,請按照下列步驟操作:

  1. 開啟「Portals」(入口網站) 頁面。

    Cloud 控制台 UI

    在 Apigee in Cloud 控制台中,依序前往「Distribution」>「Portals」頁面。

    前往「Portals」

    傳統版 UI

    在側邊導覽列中依序選取「發布」>「入口網站」,即可顯示入口網站清單。

  2. 找出要查看身分提供者的入口網站,然後按一下對應的資料列。

  3. 按一下 [帳戶]

  4. 按一下 [Authentication] (驗證) 分頁標籤。

  5. 在「Identity providers」部分,按一下「內建」供應器類型。

  6. 請按照下列各節的說明設定內建的 ID 提供者:

啟用內建的識別資訊提供者

如要啟用內建的識別資訊提供者,請按照下列步驟操作:

  1. 前往「內建識別資訊提供者」頁面

  2. 開啟編輯器。

    Cloud 控制台 UI

    按一下「Edit」(編輯)

    傳統版 UI

    按一下「供應商設定」部分中的

  3. 勾選「Enabled」核取方塊,即可啟用身分識別提供者。如要停用內建的 ID 提供者,請取消勾選核取方塊。

  4. 按一下 [儲存]

依電子郵件地址或網域限制入口網站註冊

識別可在入口網站上建立帳戶的個別電子郵件地址 (developer@some-company.com) 或電子郵件網域 (some-company.com,不含開頭的 @),藉此限制入口網站註冊。

如要比對所有巢狀子網域,請在網域或子網域前面加上 *. 萬用字元字串。例如 *.example.com 會與 test@example.comtest@dev.example.com 等相符。

如果留空,任何電子郵件地址都能用來在入口網站上註冊。

如要依電子郵件地址或網域限制入口網站註冊,請按照下列步驟操作:

  1. 前往「內建識別資訊提供者」頁面

  2. 新增一或多個電子郵件地址。

    Cloud 控制台 UI

    1. 按一下「Edit」(編輯)
    2. 按一下「+ 新增電子郵件」
    3. 輸入要允許註冊及登入入口網站的電子郵件地址或電子郵件網域。
    4. 視需要新增其他項目。
    5. 如要刪除項目,請按一下項目旁邊的 「刪除」

    傳統版 UI

    1. 按一下「供應商設定」部分中的
    2. 在「帳戶限制」部分,在文字方塊中輸入您要允許註冊及登入入口網站的電子郵件地址或電子郵件網域,然後按一下「+」
    3. 視需要新增其他項目。
    4. 如要刪除項目,請按一下項目旁邊的「x」x

  3. 按一下 [儲存]

設定電子郵件通知

針對內建供應器,您可以啟用及設定下列電子郵件通知:

電子郵件通知 收件者 觸發條件 說明
帳戶通知API 供應器Portal 使用者建立新帳戶如果您將 Portal 設定為需要手動啟用使用者帳戶,Portal 使用者必須先手動啟用使用者帳戶,才能登入。
帳戶驗證入口網站使用者Portal 使用者建立新帳戶提供安全連結,用於驗證帳戶建立作業。連結將於 10 分鐘後失效。

設定電子郵件通知時:

  • 使用 HTML 標記設定文字格式。請務必傳送測試電子郵件,確認格式是否如預期。

  • 您可以插入一或多個下列變數,系統會在傳送電子郵件通知時替換這些變數。

    變數 說明
    {{firstName}} 名字
    {{lastName}} 姓氏
    {{email}} 電子郵件地址
    {{siteurl}} 線上入口網站連結
    {{verifylink}} 用於帳戶驗證的連結

如何設定電子郵件通知:

  1. 前往「內建識別資訊提供者」頁面

  2. 設定電子郵件通知。

    Cloud 控制台 UI

    按一下「Edit」(編輯)

    傳統版 UI

    如何設定電子郵件通知:

    • API 供應商 (針對新使用者帳戶啟用),請按一下「Account Notify」部分中的
    • 如要驗證身分,Portal 使用者請按一下「帳戶驗證」部分中的

  3. 編輯「主旨」和「內文」欄位。

  4. 按一下 [儲存]

設定 SAML 識別資訊提供者 (預先發布版)

按照下列各節的說明設定 SAML 識別資訊提供者。

存取 SAML 識別資訊提供者頁面

如要存取 SAML 識別資訊提供者,請按照下列步驟操作:

  1. 開啟「Portals」(入口網站) 頁面。

    Cloud 控制台 UI

    在 Apigee in Cloud 控制台中,依序前往「Distribution」>「Portals」頁面。

    前往「Portals」

    傳統版 UI

    在側邊導覽列中依序選取「發布」>「入口網站」,即可顯示入口網站清單。

  2. 找出要查看身分提供者的入口網站,然後按一下對應的資料列。

  3. 按一下 [帳戶]

  4. 按一下 [Authentication] (驗證) 分頁標籤。

  5. 在「Identity providers」部分,按一下「SAML」供應器類型。

  6. 按照下列各節的說明設定 SAML 識別資訊提供者:

啟用 SAML 識別資訊提供者

如要啟用 SAML 識別資訊提供者,請按照下列步驟操作:

  1. 前往 SAML 識別資訊提供者頁面

  2. 開啟編輯器。

    Cloud 控制台 UI

    按一下「Edit」(編輯)

    傳統版 UI

    按一下「供應商設定」部分中的

  3. 勾選「Enabled」核取方塊,即可啟用身分識別提供者。

    如要停用 SAML 識別資訊提供者,請清除核取方塊。

  4. 按一下 [儲存]

  5. 如果您已設定自訂網域,請參閱「使用自訂網域與 SAML 身分識別資訊提供者」。

設定 SAML

如何設定 SAML:

  1. 前往 SAML 識別資訊提供者頁面

  2. 開啟編輯器。

    Cloud 控制台 UI

    按一下「Edit」(編輯)

    傳統版 UI

    按一下「SAML Configuration」部分中的

  3. 按一下「SP 中繼資料網址」旁邊的「複製」

  4. 使用服務供應商 (SP) 中繼資料檔案中的資訊,設定 SAML 識別資訊提供者。

    對於某些 SAML 識別資訊提供者,系統只會提示您提供中繼資料網址。對於其他人,您必須從中繼資料檔案中擷取特定資訊,然後輸入表單。

    如果是後者,請將網址貼到瀏覽器中,下載 SP 中繼資料檔案,然後擷取必要資訊。舉例來說,實體 ID 或登入網址可從 SP 中繼資料檔案中的下列元素擷取:

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

  5. 識別資訊提供者設定 SAML 設定。

    在「SAML Settings」部分,編輯從 SAML 識別資訊提供者中繼資料檔案取得的以下值:

    SAML 設定說明
    登入網址系統將使用者重新導向至這個網址,以便登入 SAML 識別資訊提供者。
    例如:https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    登出網址系統將使用者重新導向至這個網址,以便從 SAML 識別資訊提供者登出。

    如果符合下列情況,請將這個欄位留空

    • SAML 識別資訊提供者未提供登出網址
    • 您不希望使用者在登出整合式入口網站時,也從 SAML 識別資訊提供者登出
    • 你想啟用自訂網域 (請參閱已知問題)
    IDP 實體 IDSAML 識別資訊提供者的專屬 ID。
    例如:http://www.okta.com/exkhgdyponHIp97po0h7

  6. 按一下 [儲存]

為 SAML 識別資訊提供者設定自訂使用者屬性

為確保 SAML 識別資訊提供者與入口網站使用者帳戶之間的對應正確無誤,建議您為 SAML 識別資訊提供者建立及設定下表中定義的自訂使用者屬性。將每個自訂屬性的值設為 SAML 身分提供者 (例如 Okta) 定義的對應使用者屬性。

自訂屬性 範例 (Okta)
first_name user.firstName
last_name user.lastName
email user.email

以下說明如何使用 Okta 做為第三方 SAML 識別資訊提供者,設定自訂使用者屬性和 NameID 屬性。

在 SAML 識別資訊提供者中使用自訂網域

設定及啟用 SAML 識別資訊提供者後,您可以按照「自訂網域」一節的說明設定自訂網域 (例如 developers.example.com)。

請務必讓自訂網域和 SAML 識別資訊提供者之間的設定保持同步。如果設定檔不同步,授權程序可能會發生問題。舉例來說,傳送至 SAML 身分識別資訊提供者的授權要求,可能含有未使用自訂網域定義的 AssertionConsumerServiceURL

如要讓自訂網域和 SAML 識別資訊提供者之間的設定保持同步,請按照下列步驟操作:

  • 如果您在啟用及設定 SAML 識別資訊提供者之後設定或更新自訂網域,請儲存自訂網域設定,並確認已啟用。請等待約 30 分鐘,讓快取無效,然後使用服務供應商 (SP) 中繼資料檔案中的更新資訊,重新設定 SAML 身分提供者,如「設定 SAML 設定」一節所述。你應該會在 SP 中繼資料中看到自訂網域。

  • 如果您在設定及啟用 SAML 識別資訊提供者之前設定自訂網域,就必須重設自訂網域 (如以下所述),確保 SAML 識別資訊提供者設定正確無誤。

  • 如果您需要重設 (停用並重新啟用) SAML 識別資訊提供者,請按照「啟用 SAML 識別資訊提供者」一文的說明操作,並重設自訂網域 (如後文所述)。

重設自訂網域

如要重設 (停用和啟用) 自訂網域,請按照下列步驟操作:

  1. 開啟「Portals」(入口網站) 頁面。

    Cloud 控制台 UI

    在 Apigee in Cloud 控制台中,依序前往「Distribution」>「Portals」頁面。

    前往「Portals」

    傳統版 UI

    在側邊導覽列中依序選取「發布」>「入口網站」,即可顯示入口網站清單。

  2. 按一下入口網站。

  3. 按一下「設定」

  4. 按一下 [Domains] 分頁標籤。

  5. 按一下「停用」,即可停用自訂網域。

  6. 按一下「啟用」,即可啟用自訂網域。

詳情請參閱「自訂網域」。

上傳新憑證

如要上傳新的憑證,請按照下列步驟操作:

  1. 從 SAML 識別資訊提供者下載憑證。

  2. 前往 SAML 識別資訊提供者頁面

  3. 開啟編輯器。

    Cloud 控制台 UI

    按一下「Edit」(編輯)

    傳統版 UI

    按一下「憑證」部分中的

  4. 按一下「瀏覽」,然後前往本機目錄中的憑證。

  5. 按一下「開啟」,即可上傳新憑證。系統會更新憑證資訊欄位,以反映所選憑證。

  6. 確認憑證有效且尚未過期。

  7. 按一下 [儲存]

將 x509 憑證轉換為 PEM 格式

如果您下載 x509 憑證,則需要將其轉換為 PEM 格式。

如要將 x509 憑證轉換為 PEM 格式,請按照下列步驟操作:

  1. 從 SAML 識別資訊提供者中繼資料檔案複製 ds:X509Certificate element 的內容,然後貼到您偏好的文字編輯器中。
  2. 在檔案頂端加入下列指令行: -----BEGIN CERTIFICATE-----
  3. 在檔案底部加入下列行: -----END CERTIFICATE-----
  4. 使用 .pem 副檔名儲存檔案。

以下提供 PEM 檔案內容範例:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----