Mengonfigurasi penyedia identitas

Halaman ini berlaku untuk Apigee dan Apigee Hybrid.

Baca dokumentasi Apigee Edge.

Untuk portal terintegrasi, Anda dapat menentukan penyedia identitas untuk mendukung jenis autentikasi yang ditentukan dalam tabel berikut.

Authentication type	Deskripsi
Bawaan	Mengharuskan pengguna meneruskan kredensialnya (nama pengguna dan sandi) ke portal terintegrasi untuk autentikasi.Saat Anda membuat portal baru, penyedia identitas bawaan akan dikonfigurasi dan diaktifkan. Untuk memahami pengalaman login dari perspektif pengguna, lihat Login ke portal menggunakan kredensial pengguna (penyedia bawaan).
SAML (beta)	Security statement markup language (SAML) adalah protokol standar untuk lingkungan single sign-on (SSO). Autentikasi SSO menggunakan SAML memungkinkan pengguna untuk login ke portal terintegrasi Apigee Anda tanpa harus membuat akun baru. Pengguna login menggunakan kredensial akun mereka yang dikelola secara terpusat. Untuk memahami pengalaman login dari perspektif pengguna, lihat Login ke portal menggunakan autentikasi SAML (beta).

Manfaat autentikasi SAML untuk portal terintegrasi

Mengonfigurasi SAML sebagai penyedia identitas untuk portal terintegrasi menawarkan manfaat berikut:

• Siapkan program developer Anda sekali dan gunakan kembali di beberapa portal terintegrasi. Pilih program developer saat membuat portal terintegrasi. Perbarui atau ubah program developer dengan mudah seiring berkembangnya persyaratan.
• Kendalikan pengelolaan pengguna sepenuhnya
  Hubungkan server SAML perusahaan Anda ke portal terintegrasi. Jika pengguna keluar dari organisasi dan dicabut aksesnya secara terpusat, mereka tidak akan dapat lagi melakukan autentikasi dengan layanan SSO untuk menggunakan portal terintegrasi.

Mengonfigurasi penyedia identitas bawaan

Konfigurasikan penyedia identitas bawaan, seperti yang dijelaskan di bagian berikut.

Mengakses halaman Penyedia Identitas Bawaan

Untuk mengakses penyedia identitas bawaan:

1. Pilih Publikasikan > Portal di menu navigasi samping untuk menampilkan daftar portal.
2. Klik baris portal yang timnya ingin Anda lihat.
3. Klik Akun di halaman landing portal. Atau, Anda dapat memilih Akun di drop-down portal di menu navigasi atas.
4. Klik tab Authentication.
5. Di bagian Penyedia identitas, klik jenis penyedia bawaan.
   
6. Konfigurasikan penyedia identitas bawaan, seperti yang dijelaskan di bagian berikut:
   • Mengaktifkan penyedia identitas bawaan
   • Membatasi pendaftaran portal menurut alamat email atau domain
   • Mengonfigurasi notifikasi email

Mengaktifkan penyedia identitas bawaan

Untuk mengaktifkan penyedia identitas bawaan:

1. Akses halaman Penyedia Identitas Bawaan.
2. Klik di bagian Provider Configuration.

3. Pilih kotak centang Enabled untuk mengaktifkan penyedia identitas.
   

   Untuk menonaktifkan penyedia identitas bawaan, hapus centang pada kotak.

4. Klik Save.

Membatasi pendaftaran portal menurut alamat email atau domain

Batasi pendaftaran portal dengan mengidentifikasi alamat email individu (developer@some-company.com) atau domain email (some-company.com, tanpa @ utama) yang dapat membuat akun di portal Anda.

Untuk mencocokkan semua subdomain bertingkat, tambahkan string karakter pengganti *. ke domain atau subdomain. Misalnya, *.example.com akan cocok dengan test@example.com, test@dev.example.com, dan seterusnya.

Jika dibiarkan kosong, alamat email apa pun dapat digunakan untuk mendaftar di portal.

Untuk membatasi pendaftaran portal menurut alamat email atau domain:

1. Akses halaman Penyedia Identitas Bawaan.
2. Klik di bagian Provider Configuration.
3. Di bagian Pembatasan akun, masukkan alamat email atau domain email yang ingin Anda izinkan untuk mendaftar dan login ke portal di kotak teks, lalu klik +.
4. Tambahkan entri lain, jika perlu.
5. Untuk menghapus entri, klik x di samping entri tersebut.
6. Klik Save.

Mengonfigurasi notifikasi email

Untuk penyedia bawaan, Anda dapat mengaktifkan dan mengonfigurasi notifikasi email berikut:

Notifikasi email	Penerima	Pemicu	Deskripsi
Notifikasi Akun	Penyedia API	Pengguna portal membuat akun baru	Jika Anda mengonfigurasi portal untuk mewajibkan aktivasi akun pengguna secara manual, Anda harus mengaktifkan akun pengguna secara manual sebelum pengguna portal dapat login.
Verifikasi Akun	Pengguna portal	Pengguna portal membuat akun baru	Menyediakan link yang aman untuk memverifikasi pembuatan akun. Masa berlaku link akan berakhir dalam 10 menit.

Saat mengonfigurasi notifikasi email:

• Gunakan tag HTML untuk memformat teks. Pastikan untuk mengirim email percobaan guna memvalidasi format yang muncul seperti yang diharapkan.

• Anda dapat memasukkan satu atau beberapa variabel berikut yang akan diganti saat notifikasi email dikirim.

  Variabel	Deskripsi
  {{firstName}}	Nama depan
  {{lastName}}	Nama belakang
  {{email}}	Alamat email
  {{siteurl}}	Link ke portal live
  {{verifylink}}	Link yang digunakan untuk verifikasi akun

Untuk mengonfigurasi notifikasi email:

1. Akses halaman Penyedia Identitas Bawaan.

2. Untuk mengonfigurasi notifikasi email yang dikirim ke:

   • Penyedia API untuk aktivasi akun pengguna baru, klik di bagian Pemberitahuan Akun.
   • Pengguna portal untuk memverifikasi identitas mereka, klik di bagian Verifikasi Akun.

3. Edit kolom Subjek dan Isi.

4. Klik Kirim Email Uji untuk mengirim email percobaan ke alamat email Anda.

5. Klik Save.

Mengonfigurasi penyedia identitas SAML (beta)

Konfigurasikan penyedia identitas SAML, seperti yang dijelaskan di bagian berikut.

Mengakses halaman Penyedia Identitas SAML

Untuk mengakses penyedia identitas SAML:

1. Pilih Publikasikan > Portal di menu navigasi samping untuk menampilkan daftar portal.
2. Klik baris portal yang timnya ingin Anda lihat.
3. Klik Akun di halaman landing portal. Atau, Anda dapat memilih Akun di drop-down portal di menu navigasi atas.
4. Klik tab Authentication.
5. Di bagian Identity providers, klik jenis penyedia SAML.
   

6. Konfigurasikan penyedia identitas SAML, seperti yang dijelaskan di bagian berikut:

   • Mengaktifkan penyedia identitas SAML
   • Mengonfigurasi setelan SAML
   • Mengonfigurasi atribut pengguna kustom untuk penyedia identitas SAML
   • Upload sertifikat baru

Mengaktifkan penyedia identitas SAML

Untuk mengaktifkan penyedia identitas SAML:

1. Akses halaman Penyedia Identitas SAML.
2. Klik di bagian Provider Configuration.

3. Pilih kotak centang Enabled untuk mengaktifkan penyedia identitas.

   

   Untuk menonaktifkan penyedia identitas SAML, hapus centang pada kotak.

4. Klik Save.

5. Jika Anda telah mengonfigurasi domain kustom, lihat Menggunakan domain kustom dengan penyedia identitas SAML.

Mengonfigurasi setelan SAML

Untuk mengonfigurasi setelan SAML:

1. Akses halaman Penyedia Identitas SAML.
2. Pada bagian SAML Settings, klik .

3. Klik Copy di sebelah URL metadata SP.
   

4. Konfigurasikan penyedia identitas SAML menggunakan informasi dalam file metadata penyedia layanan (SP).

   Untuk beberapa penyedia identitas SAML, Anda hanya akan diminta untuk memasukkan URL metadata. Untuk yang lainnya, Anda harus mengekstrak informasi spesifik dari file metadata dan memasukkannya ke dalam formulir.
   
   Untuk kasus yang kedua, tempel URL ke browser untuk mendownload file metadata SP dan mengekstrak informasi yang diperlukan. Misalnya, ID entitas atau URL login dapat diekstrak dari elemen berikut di file metadata SP:

   • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
   • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

5. Konfigurasikan setelan SAML untuk Penyedia Identitas.

   Di bagian SAML Settings, edit nilai berikut yang diperoleh dari file metadata penyedia identitas SAML Anda:

   Setelan SAML	Deskripsi
   URL login	URL tempat pengguna dialihkan untuk login ke penyedia identitas SAML. Misalnya: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
   URL Keluar	URL tempat pengguna dialihkan untuk logout dari penyedia identitas SAML. Kosongkan kolom ini kosong jika: Penyedia identitas SAML Anda tidak menyediakan URL logout Anda tidak ingin pengguna logout dari penyedia identitas SAML saat mereka logout dari portal terintegrasi Anda ingin mengaktifkan domain kustom (lihat masalah umum)
   ID entitas IDP	ID unik untuk penyedia identitas SAML. Misalnya: http://www.okta.com/exkhgdyponHIp97po0h7

6. Klik Save.

Mengonfigurasi atribut pengguna kustom untuk penyedia identitas SAML

Untuk memastikan pemetaan yang benar antara penyedia identitas SAML dan akun pengguna portal, sebaiknya buat dan konfigurasi atribut pengguna kustom yang ditentukan dalam tabel berikut untuk penyedia identitas SAML Anda. Tetapkan nilai setiap atribut khusus ke atribut pengguna yang sesuai yang ditetapkan oleh penyedia identitas SAML Anda (misalnya, Okta).

Atribut khusus	Contoh (Okta)
first_name	user.firstName
last_name	user.lastName
email	user.email

Berikut cara mengonfigurasi atribut pengguna kustom dan atribut NameID menggunakan Okta sebagai penyedia identitas SAML pihak ketiga.

Menggunakan domain kustom dengan penyedia identitas SAML

Setelah mengonfigurasi dan mengaktifkan penyedia identitas SAML, Anda dapat mengonfigurasi domain kustom (seperti, developers.example.com), seperti yang dijelaskan dalam Menyesuaikan domain Anda.

Pastikan setelan konfigurasi tetap sinkron antara domain kustom dan penyedia identitas SAML. Jika setelan konfigurasi tidak sinkron, Anda mungkin mengalami masalah selama otorisasi. Misalnya, permintaan otorisasi yang dikirim ke penyedia identitas SAML mungkin memiliki AssertionConsumerServiceURL yang tidak ditentukan menggunakan domain kustom.

Agar setelan konfigurasi tetap sinkron antara domain kustom dan penyedia identitas SAML:

• Jika Anda mengonfigurasi atau memperbarui domain kustom setelah mengaktifkan dan mengonfigurasi penyedia identitas SAML, simpan konfigurasi domain kustom dan pastikan konfigurasi tersebut diaktifkan. Tunggu sekitar 30 menit hingga cache tidak valid, lalu konfigurasi ulang Penyedia Identitas SAML menggunakan informasi yang diperbarui di file metadata penyedia layanan (SP), seperti yang dijelaskan dalam Mengonfigurasi setelan SAML. Anda akan melihat domain kustom di Metadata SP.

• Jika mengonfigurasi domain kustom sebelum mengonfigurasi dan mengaktifkan penyedia identitas SAML, Anda harus mereset domain kustom (dijelaskan di bawah) untuk memastikan bahwa penyedia identitas SAML dikonfigurasi dengan benar.

• Jika perlu mereset (menonaktifkan dan mengaktifkan kembali) penyedia identitas SAML, seperti yang dijelaskan dalam Mengaktifkan penyedia identitas SAML, Anda juga harus Mereset domain kustom (dijelaskan di bawah).

Mereset domain kustom

Untuk mereset (menonaktifkan dan mengaktifkan) domain kustom:

1. Pilih Publikasikan > Portal di navigasi sebelah kiri, lalu pilih portal Anda.
2. Pilih Setelan di menu drop-down pada menu navigasi atas atau di halaman landing.
3. Klik tab Domains.
4. Klik Disable untuk menonaktifkan domain kustom.
5. Klik Aktifkan untuk mengaktifkan kembali domain kustom.

Untuk informasi selengkapnya, lihat Menyesuaikan domain.

Mengunggah sertifikat baru

Untuk mengupload sertifikat baru:

1. Download sertifikat dari penyedia identitas SAML Anda.
   

2. Akses halaman Penyedia Identitas SAML.

3. Klik baris zona identitas tempat Anda ingin mengupload sertifikat baru.

4. Di bagian Certificate, klik .

5. Klik Browse, lalu buka sertifikat di direktori lokal Anda.

6. Klik Buka untuk mengupload sertifikat baru.
   Kolom informasi Sertifikat diperbarui untuk mencerminkan sertifikat yang dipilih.
   

7. Verifikasi bahwa sertifikat valid dan belum habis masa berlakunya.

8. Klik Save.

Mengonversi sertifikat x509 ke format PEM

Jika mendownload sertifikat x509, Anda harus mengonversinya ke format PEM.

Untuk mengonversi sertifikat x509 ke format PEM:

1. Salin konten ds:X509Certificate element dari file metadata penyedia identitas SAML dan tempelkan ke editor teks favorit Anda.
2. Tambahkan baris berikut di bagian atas file:
   -----BEGIN CERTIFICATE-----
3. Tambahkan baris berikut di bagian bawah file:
   -----END CERTIFICATE-----
4. Simpan file menggunakan ekstensi .pem.

Berikut contoh konten file PEM:

-----BEGIN CERTIFICATE-----
MIICMzCCAZygAwIBAgIJALiPnVsvq8dsMA0GCSqGSIb3DQEBBQUAMFMxCzAJBgNV
BAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNVBAcTA2ZvbzEMMAoGA1UEChMDZm9v
MQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2ZvbzAeFw0xMzAzMTkxNTQwMTlaFw0x
ODAzMTgxNTQwMTlaMFMxCzAJBgNVBAYTAlVTMQwwCgYDVQQIEwNmb28xDDAKBgNV
BAcTA2ZvbzEMMAoGA1UEChMDZm9vMQwwCgYDVQQLEwNmb28xDDAKBgNVBAMTA2Zv
bzCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAzdGfxi9CNbMf1UUcvDQh7MYB
OveIHyc0E0KIbhjK5FkCBU4CiZrbfHagaW7ZEcN0tt3EvpbOMxxc/ZQU2WN/s/wP
xph0pSfsfFsTKM4RhTWD2v4fgk+xZiKd1p0+L4hTtpwnEw0uXRVd0ki6muwV5y/P
+5FHUeldq+pgTcgzuK8CAwEAAaMPMA0wCwYDVR0PBAQDAgLkMA0GCSqGSIb3DQEB
BQUAA4GBAJiDAAtY0mQQeuxWdzLRzXmjvdSuL9GoyT3BF/jSnpxz5/58dba8pWen
v3pj4P3w5DoOso0rzkZy2jEsEitlVM2mLSbQpMM+MUVQCQoiG6W9xuCFuxSrwPIS
pAqEAuV4DNoxQKKWmhVv+J0ptMWD25Pnpxeq5sXzghfJnslJlQND
-----END CERTIFICATE-----