Mengonfigurasi penyedia identitas

Halaman ini berlaku untuk Apigee dan Apigee hybrid.

Lihat dokumentasi Apigee Edge.

Untuk portal terintegrasi, Anda dapat menentukan penyedia identitas untuk mendukung jenis autentikasi yang ditentukan dalam tabel berikut.

Authentication type Deskripsi
Bawaan

Mewajibkan pengguna untuk meneruskan kredensial mereka (nama pengguna dan sandi) ke portal terintegrasi untuk autentikasi. Saat Anda membuat portal baru, penyedia identitas bawaan akan dikonfigurasi dan diaktifkan.

Untuk memahami pengalaman login dari perspektif pengguna, lihat Login ke portal menggunakan kredensial pengguna (penyedia bawaan).
SAML (beta)

Security assertion markup language (SAML) adalah protokol standar untuk lingkungan single sign-on (SSO). Autentikasi SSO menggunakan SAML memungkinkan pengguna login ke portal terintegrasi Apigee tanpa harus membuat akun baru. Pengguna login menggunakan kredensial akun yang dikelola secara terpusat.

Untuk memahami pengalaman login dari perspektif pengguna, lihat Login ke portal menggunakan autentikasi SAML (beta).

Manfaat autentikasi SAML untuk portal terintegrasi

Mengonfigurasi SAML sebagai penyedia identitas untuk portal terintegrasi menawarkan manfaat berikut:

  • Siapkan program developer Anda satu kali dan gunakan kembali di beberapa portal terintegrasi. Pilih program developer saat membuat portal terintegrasi. Memperbarui atau mengubah program developer dengan mudah seiring dengan perubahan persyaratan.
  • Mengambil kontrol penuh atas pengelolaan pengguna
    Hubungkan server SAML perusahaan Anda ke portal terintegrasi. Saat pengguna keluar dari organisasi dan dihentikan penyediaannya secara terpusat, mereka tidak akan dapat lagi mengautentikasi dengan layanan SSO Anda untuk menggunakan portal terintegrasi.

Mengonfigurasi penyedia identitas bawaan

Konfigurasikan penyedia identitas bawaan, seperti yang dijelaskan di bagian berikut.

Mengakses halaman Penyedia Identitas Bawaan

Untuk mengakses penyedia identitas bawaan:

  1. Pilih Publikasi > Portal di menu navigasi samping untuk menampilkan daftar portal.
  2. Klik baris portal yang timnya ingin Anda lihat.
  3. Klik Akun di halaman landing portal. Atau, Anda dapat memilih Akun di drop-down portal di menu navigasi atas.
  4. Klik tab Authentication.
  5. Di bagian Penyedia identitas, klik jenis penyedia Built-in.
  6. Konfigurasikan penyedia identitas bawaan, seperti yang dijelaskan di bagian berikut:

Mengaktifkan penyedia identitas bawaan

Untuk mengaktifkan penyedia identitas bawaan:

  1. Akses halaman Penyedia Identitas Bawaan.
  2. Klik di bagian Konfigurasi Penyedia.

  3. Centang kotak Enabled untuk mengaktifkan penyedia identitas.

    Untuk menonaktifkan penyedia identitas bawaan, hapus centang pada kotak.

  4. Klik Simpan.

Membatasi pendaftaran portal menurut alamat email atau domain

Batasi pendaftaran portal dengan mengidentifikasi setiap alamat email (developer@some-company.com) atau domain email (some-company.com, tanpa @ di awal) yang dapat membuat akun di portal Anda.

Untuk mencocokkan semua subdomain bertingkat, tambahkan string karakter pengganti *. di awal domain atau subdomain. Misalnya, *.example.com akan cocok dengan test@example.com, test@dev.example.com, dan sebagainya.

Jika dibiarkan kosong, alamat email apa pun dapat digunakan untuk mendaftar di portal.

Untuk membatasi pendaftaran portal menurut alamat email atau domain:

  1. Akses halaman Penyedia Identitas Bawaan.
  2. Klik di bagian Konfigurasi Penyedia.
  3. Di bagian Pembatasan akun, masukkan alamat email atau domain email yang ingin Anda izinkan untuk mendaftar dan login ke portal di kotak teks, lalu klik +.
  4. Tambahkan entri tambahan, sesuai kebutuhan.
  5. Untuk menghapus entri, klik x di samping entri.
  6. Klik Simpan.

Mengonfigurasi notifikasi email

Untuk penyedia bawaan, Anda dapat mengaktifkan dan mengonfigurasi notifikasi email berikut:

Notifikasi email Penerima Pemicu Deskripsi
Notifikasi AkunPenyedia APIPengguna portal membuat akun baruJika mengonfigurasi portal agar mengharuskan aktivasi akun pengguna secara manual, Anda harus mengaktifkan akun pengguna secara manual sebelum pengguna portal dapat login.
Verifikasi AkunPengguna portalPengguna portal membuat akun baruMemberikan link aman untuk memverifikasi pembuatan akun. Masa berlaku link akan berakhir dalam 10 menit.

Saat mengonfigurasi notifikasi email:

  • Gunakan tag HTML untuk memformat teks. Pastikan untuk mengirim email pengujian guna memvalidasi bahwa formatnya muncul seperti yang diharapkan.

  • Anda dapat menyisipkan satu atau beberapa variabel berikut yang akan diganti saat notifikasi email dikirim.

    Variabel Deskripsi
    {{firstName}} Nama depan
    {{lastName}} Nama belakang
    {{email}} Alamat email
    {{siteurl}} Link ke portal live
    {{verifylink}} Link yang digunakan untuk verifikasi akun

Untuk mengonfigurasi notifikasi email:

  1. Akses halaman Penyedia Identitas Bawaan.

  2. Untuk mengonfigurasi notifikasi email yang dikirim ke:

    • Penyedia API untuk aktivasi akun pengguna baru, klik di bagian Pemberitahuan Akun.
    • Pengguna portal untuk memverifikasi identitas mereka, klik di bagian Verifikasi Akun.

  3. Edit kolom Subjek dan Isi.

  4. Klik Kirim Email Uji Coba untuk mengirim email uji coba ke alamat email Anda.

  5. Klik Simpan.

Mengonfigurasi penyedia identitas SAML (beta)

Konfigurasikan penyedia identitas SAML, seperti yang dijelaskan di bagian berikut.

Mengakses halaman Penyedia Identitas SAML

Untuk mengakses penyedia identitas SAML:

  1. Pilih Publikasi > Portal di menu navigasi samping untuk menampilkan daftar portal.
  2. Klik baris portal yang timnya ingin Anda lihat.
  3. Klik Akun di halaman landing portal. Atau, Anda dapat memilih Akun di drop-down portal di menu navigasi atas.
  4. Klik tab Authentication.
  5. Di bagian Identity providers, klik jenis penyedia SAML.

  6. Konfigurasikan penyedia identitas SAML, seperti yang dijelaskan di bagian berikut:

Mengaktifkan penyedia identitas SAML

Untuk mengaktifkan penyedia identitas SAML:

  1. Akses halaman Penyedia Identitas SAML.
  2. Klik di bagian Konfigurasi Penyedia.

  3. Centang kotak Enabled untuk mengaktifkan penyedia identitas.

    Untuk menonaktifkan penyedia identitas SAML, hapus centang pada kotak.

  4. Klik Simpan.

  5. Jika Anda telah mengonfigurasi domain kustom, lihat Menggunakan domain kustom dengan penyedia identitas SAML.

Mengonfigurasi setelan SAML

Untuk mengonfigurasi setelan SAML:

  1. Akses halaman Penyedia Identitas SAML.
  2. Di bagian SAML Settings, klik .

  3. Klik Salin di samping URL metadata SP.

  4. Konfigurasikan penyedia identitas SAML Anda menggunakan informasi dalam file metadata penyedia layanan (SP).

    Untuk beberapa penyedia identitas SAML, Anda hanya akan diminta untuk memasukkan URL metadata. Untuk yang lainnya, Anda harus mengekstrak informasi tertentu dari file metadata dan memasukkannya ke dalam formulir.

    Dalam kasus yang terakhir, tempel URL ke browser untuk mendownload file metadata SP dan mengekstrak informasi yang diperlukan. Misalnya, ID entitas atau URL login dapat diekstrak dari elemen berikut dalam file metadata SP:

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

  5. Konfigurasikan setelan SAML untuk penyedia identitas.

    Di bagian SAML Settings, edit nilai berikut yang diperoleh dari file metadata penyedia identitas SAML Anda:

    Setelan SAMLDeskripsi
    URL loginURL tempat pengguna dialihkan untuk login ke penyedia identitas SAML.
    Misalnya: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL KeluarURL tempat pengguna dialihkan untuk logout dari penyedia identitas SAML.

    Biarkan kolom ini kosong jika:

    • Penyedia identitas SAML Anda tidak menyediakan URL logout
    • Anda tidak ingin pengguna logout dari penyedia identitas SAML saat mereka logout dari portal terintegrasi
    • Anda ingin mengaktifkan domain kustom (lihat masalah umum)
    ID entitas IDPID unik untuk penyedia identitas SAML.
    Misalnya: http://www.okta.com/exkhgdyponHIp97po0h7

  6. Klik Simpan.

Mengonfigurasi atribut pengguna kustom untuk penyedia identitas SAML

Untuk memastikan pemetaan yang tepat antara penyedia identitas SAML dan akun pengguna portal, sebaiknya buat dan konfigurasikan atribut pengguna kustom yang ditentukan dalam tabel berikut untuk penyedia identitas SAML Anda. Tetapkan nilai setiap atribut kustom ke atribut pengguna yang sesuai yang ditentukan oleh penyedia identitas SAML Anda (misalnya, Okta).

Atribut khusus Contoh (Okta)
first_name user.firstName
last_name user.lastName
email user.email

Berikut ini cara mengonfigurasi atribut pengguna kustom dan atribut NameID menggunakan Okta sebagai penyedia identitas SAML pihak ketiga Anda.

Menggunakan domain kustom dengan penyedia identitas SAML

Setelah mengonfigurasi dan mengaktifkan penyedia identitas SAML, Anda dapat mengonfigurasi domain kustom (seperti, developers.example.com), seperti yang dijelaskan di Menyesuaikan domain.

Anda harus memastikan setelan konfigurasi tetap sinkron antara domain kustom dan penyedia identitas SAML. Jika setelan konfigurasi tidak sinkron, Anda mungkin mengalami masalah selama otorisasi. Misalnya, permintaan otorisasi yang dikirim ke penyedia identitas SAML mungkin memiliki AssertionConsumerServiceURL yang tidak ditentukan menggunakan domain kustom.

Agar setelan konfigurasi tetap sinkron antara domain kustom dan penyedia identitas SAML:

  • Jika Anda mengonfigurasi atau memperbarui domain kustom setelah mengaktifkan dan mengonfigurasi penyedia identitas SAML, simpan konfigurasi domain kustom dan pastikan domain tersebut diaktifkan. Tunggu sekitar 30 menit hingga cache tidak valid, lalu konfigurasi ulang penyedia identitas SAML Anda menggunakan informasi yang diperbarui dalam file metadata penyedia layanan (SP), seperti yang dijelaskan dalam Mengonfigurasi setelan SAML. Anda akan melihat domain kustom di Metadata SP.

  • Jika Anda mengonfigurasi domain kustom sebelum mengonfigurasi dan mengaktifkan penyedia identitas SAML, Anda harus mereset domain kustom (dijelaskan di bawah) untuk memastikan bahwa penyedia identitas SAML dikonfigurasi dengan benar.

  • Jika perlu mereset (menonaktifkan dan mengaktifkan kembali) penyedia identitas SAML, seperti yang dijelaskan di Mengaktifkan penyedia identitas SAML, Anda juga harus Mereset domain kustom (dijelaskan di bawah).

Mereset domain kustom

Untuk mereset (menonaktifkan dan mengaktifkan) domain kustom:

  1. Pilih Publikasi > Portal di navigasi sebelah kiri, lalu pilih portal Anda.
  2. Pilih Setelan di menu drop-down di menu navigasi atas atau di halaman landing.
  3. Klik tab Domains.
  4. Klik Nonaktifkan untuk menonaktifkan domain kustom.
  5. Klik Aktifkan untuk mengaktifkan kembali domain kustom.

Untuk informasi selengkapnya, lihat Menyesuaikan domain.

Mengupload sertifikat baru

Untuk mengupload sertifikat baru:

  1. Download sertifikat dari penyedia identitas SAML Anda.

  2. Akses halaman Penyedia Identitas SAML.

  3. Klik baris zona identitas yang ingin Anda upload sertifikat barunya.

  4. Di bagian Certificate, klik .

  5. Klik Browse, lalu buka sertifikat di direktori lokal Anda.

  6. Klik Open untuk mengupload sertifikat baru.
    Kolom Informasi sertifikat diperbarui untuk mencerminkan sertifikat yang dipilih.

  7. Pastikan sertifikat valid dan masa berlakunya belum habis.

  8. Klik Simpan.

Mengonversi sertifikat x509 ke format PEM

Jika mendownload sertifikat x509, Anda harus mengonversinya ke format PEM.

Untuk mengonversi sertifikat x509 ke format PEM:

  1. Salin konten ds:X509Certificate element dari file metadata penyedia identitas SAML dan tempelkan ke editor teks favorit Anda.
  2. Tambahkan baris berikut di bagian atas file:
    -----BEGIN CERTIFICATE-----
  3. Tambahkan baris berikut di bagian bawah file:
    -----END CERTIFICATE-----
  4. Simpan file menggunakan ekstensi .pem.

Berikut adalah contoh isi file PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----