Configurazione del provider di identità

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Per i portali integrati, puoi definire provider di identità per supportare i tipi di autenticazione definiti nella tabella seguente.

Vantaggi dell'autenticazione SAML per i portali integrati

La configurazione di SAML come provider di identità per un portale integrato offre i seguenti vantaggi:

• Configura il tuo programma per gli sviluppatori una volta e riutilizzalo su più portali integrati. Scegli il tuo programma per sviluppatori quando crei il portale integrato. Aggiorna o modifica facilmente il programma per gli sviluppatori man mano che i requisiti si evolvono.
• Assumi il controllo completo della gestione degli utenti Collega il server SAML della tua azienda al portale integrato. Quando gli utenti lasciano la tua organizzazione e il loro provisioning viene eseguito in modo centralizzato, non potranno più autenticarsi con il tuo servizio SSO per utilizzare il portale integrato.

Configurazione del provider di identità integrato

Configura il provider di identità integrato, come descritto nelle sezioni seguenti.

Accesso alla pagina Provider di identità integrato

Per accedere al provider di identità integrato:

1. Seleziona Pubblica > Portali nella barra di navigazione laterale per visualizzare l'elenco dei portali.
2. Fai clic sulla riga del portale per cui vuoi visualizzare i team.
3. Fai clic su Account nella pagina di destinazione del portale. In alternativa, puoi selezionare Account nel menu a discesa del portale nella barra di navigazione in alto.
4. Fai clic sulla scheda Authentication (Autenticazione).
5. Nella sezione Provider di identità, fai clic sul tipo di provider Integrato.
6. Configura il provider di identità integrato, come descritto nelle sezioni seguenti:
   • Attivare il provider di identità integrato
   • Limitare la registrazione al portale in base all'indirizzo email o al dominio
   • Configurare le notifiche via email

Attivazione del provider di identità integrato

Per attivare il provider di identità integrato:

1. Accedi alla pagina Provider di identità integrato.
2. Fai clic su nella sezione Configurazione del provider.

3. Seleziona la casella di controllo Attivato per attivare il provider di identità.

   Per disattivare il provider di identità integrato, deseleziona la casella di controllo.

4. Fai clic su Salva.

Limitare la registrazione al portale per indirizzo email o dominio

Limita la registrazione al portale identificando i singoli indirizzi email (developer@some-company.com) o i domini email (some-company.com, senza il carattere iniziale @) che possono creare account sul tuo portale.

Per trovare una corrispondenza per tutti i sottodomini nidificati, anteponi la stringa jolly *. a un dominio o sottodominio. Ad esempio, *.example.com corrisponderà a test@example.com, test@dev.example.com e così via.

Se lasciato vuoto, qualsiasi indirizzo email può essere utilizzato per registrarsi al portale.

Per limitare la registrazione al portale in base all'indirizzo email o al dominio:

1. Accedi alla pagina Provider di identità integrato.
2. Fai clic su nella sezione Configurazione del provider.
3. Nella sezione Limitazioni dell'account, inserisci un indirizzo email o un dominio email a cui vuoi consentire la registrazione e l'accesso al portale nella casella di testo e fai clic su +.
4. Aggiungi altre voci, se necessario.
5. Per eliminare una voce, fai clic sulla x accanto alla voce.
6. Fai clic su Salva.

Configurazione delle notifiche via email

Per il provider integrato, puoi attivare e configurare le seguenti notifiche via email:

Quando configuri le notifiche via email:

• Utilizza i tag HTML per formattare il testo. Assicurati di inviare un'email di prova per verificare che la formattazione venga visualizzata come previsto.

• Puoi inserire una o più delle seguenti variabili che verranno sostituite al momento dell'invio della notifica via email.

  Variabile	Descrizione
  {{firstName}}	Nome
  {{lastName}}	Cognome
  {{email}}	Indirizzo email
  {{siteurl}}	Link al portale online
  {{verifylink}}	Link utilizzato per la verifica dell'account

Per configurare le notifiche via email:

1. Accedi alla pagina Provider di identità integrato.

2. Per configurare le notifiche via email inviate a:

   • Fornitori di API per l'attivazione dei nuovi account utente, fai clic su nella sezione Account Notify.
   • Gli utenti del portale devono verificare la propria identità facendo clic su nella sezione Verifica account.

3. Modifica i campi Oggetto e Testo.

4. Fai clic su Salva.

Configurazione del provider di identità SAML (beta)

Configura il provider di identità SAML, come descritto nelle sezioni seguenti.

Accesso alla pagina del provider di identità SAML

Per accedere al provider di identità SAML:

1. Seleziona Pubblica > Portali nella barra di navigazione laterale per visualizzare l'elenco dei portali.
2. Fai clic sulla riga del portale per cui vuoi visualizzare i team.
3. Fai clic su Account nella pagina di destinazione del portale. In alternativa, puoi selezionare Account nel menu a discesa del portale nella barra di navigazione in alto.
4. Fai clic sulla scheda Authentication (Autenticazione).
5. Nella sezione Provider di identità, fai clic sul tipo di provider SAML.

6. Configura il provider di identità SAML, come descritto nelle sezioni seguenti:

   • Attiva il provider di identità SAML
   • Configurare le impostazioni SAML
   • Configurare attributi utente personalizzati per il provider di identità SAML
   • Caricare un nuovo certificato

Attivazione del provider di identità SAML

Per attivare il provider di identità SAML:

1. Accedi alla pagina del provider di identità SAML.
2. Fai clic su nella sezione Configurazione del provider.

3. Seleziona la casella di controllo Attivato per attivare l'identity provider.

   

   Per disattivare il provider di identità SAML, deseleziona la casella di controllo.

4. Fai clic su Salva.

5. Se hai configurato un dominio personalizzato, consulta Utilizzare un dominio personalizzato con il provider di identità SAML.

Configurazione delle impostazioni SAML

Per configurare le impostazioni SAML:

1. Accedi alla pagina del provider di identità SAML.
2. Nella sezione SAML Settings (Impostazioni SAML), fai clic su .

3. Fai clic su Copia accanto all'URL dei metadati del fornitore di servizi.

4. Configura il tuo provider di identità SAML utilizzando le informazioni nel file dei metadati del fornitore di servizi (SP).

   Per alcuni provider di identità SAML, ti verrà chiesto solo l'URL dei metadati. Per altri, dovrai estrarre informazioni specifiche dal file di metadati e inserirle in un modulo.
   
   In quest'ultimo caso, incolla l'URL in un browser per scaricare il file di metadati SP e estrarre le informazioni richieste. Ad esempio, l'ID entità o l'URL di accesso può essere estratto dai seguenti elementi nel file di metadati SP:

   • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
   • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

5. Configura le impostazioni SAML per il provider di identità.

   Nella sezione SAML Settings (Impostazioni SAML), modifica i seguenti valori ottenuti dal file dei metadati del provider di identità SAML:

   Impostazione SAML	Descrizione
   URL di accesso	URL a cui gli utenti vengono reindirizzati per accedere al provider di identità SAML. Ad esempio: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
   URL di uscita	URL a cui gli utenti vengono reindirizzati per uscire dal provider di identità SAML. Lascia vuoto questo campo se: Il tuo provider di identità SAML non fornisce un URL di disconnessione Non vuoi che gli utenti vengano disconnessi dal tuo provider di identità SAML quando escono dal portale integrato Vuoi attivare un dominio personalizzato (fai riferimento al problema noto)
   ID entità dell'IdP	ID univoco per il provider di identità SAML. Ad esempio: http://www.okta.com/exkhgdyponHIp97po0h7

6. Fai clic su Salva.

Configurazione di attributi utente personalizzati per il provider di identità SAML

Per garantire una mappatura corretta tra il provider di identità SAML e gli account utente del portale, ti consigliamo di creare e configurare gli attributi utente personalizzati definiti nella tabella seguente per il tuo provider di identità SAML. Imposta il valore di ogni attributo personalizzato sull'attributo utente corrispondente definito dal tuo provider di identità SAML (ad esempio Okta).

Di seguito viene mostrato come configurare gli attributi utente personalizzati e l'attributo NameID utilizzando Okta come provider di identità SAML di terze parti.

Utilizzo di un dominio personalizzato con il provider di identità SAML

Dopo aver configurato e attivato il provider di identità SAML, puoi configurare un dominio personalizzato (ad esempio developers.example.com), come descritto in Personalizzare il dominio.

È importante mantenere sincronizzate le impostazioni di configurazione tra il dominio personalizzato e il provider di identità SAML. Se le impostazioni di configurazione non sono sincronizzate, potresti riscontrare problemi durante l'autorizzazione. Ad esempio, la richiesta di autorizzazione inviata al provider di identità SAML potrebbe avere un AssertionConsumerServiceURL non definito utilizzando il dominio personalizzato.

Per mantenere sincronizzate le impostazioni di configurazione tra il dominio personalizzato e il provider di identità SAML:

• Se configuri o aggiorni il dominio personalizzato dopo aver attivato e configurato il provider di identità SAML, salva la configurazione del dominio personalizzato e assicurati che sia attivata. Attendi circa 30 minuti affinché la cache venga invalidata, quindi configura di nuovo il provider di identità SAML utilizzando le informazioni aggiornate nel file di metadati del fornitore di servizi (SP), come descritto in Configurare le impostazioni SAML. Dovresti vedere il tuo dominio personalizzato nei metadati SP.

• Se configuri un dominio personalizzato prima di configurare e attivare il provider di identità SAML, devi reimpostare il dominio personalizzato (descritto di seguito) per assicurarti che il provider di identità SAML sia configurato correttamente.

• Se devi reimpostare (disattivare e riattivare) il provider di identità SAML, come descritto in Attivare il provider di identità SAML, devi anche reimpostare il dominio personalizzato (descritto di seguito).

Reimpostazione del dominio personalizzato

Per reimpostare (disattivare e attivare) il dominio personalizzato:

1. Seleziona Pubblica > Portali nel riquadro di navigazione a sinistra e seleziona il tuo portale.
2. Seleziona Impostazioni nel menu a discesa nella barra di navigazione in alto o nella pagina di destinazione.
3. Fai clic sulla scheda Domains (Domini).
4. Fai clic su Disattiva per disattivare il dominio personalizzato.
5. Fai clic su Attiva per riattivare il dominio personalizzato.

Per ulteriori informazioni, vedi Personalizzare il dominio.

Caricamento di un nuovo certificato

Per caricare un nuovo certificato:

1. Scarica il certificato dal tuo provider di identità SAML.

2. Accedi alla pagina del provider di identità SAML.

3. Fai clic sulla riga della zona di identità per cui vuoi caricare un nuovo certificato.

4. Nella sezione Certificato, fai clic su .

5. Fai clic su Sfoglia e vai al certificato nella tua directory locale.

6. Fai clic su Apri per caricare il nuovo certificato. I campi delle informazioni sul certificato vengono aggiornati in base al certificato selezionato.

7. Verifica che il certificato sia valido e che non sia scaduto.

8. Fai clic su Salva.

Convertire un certificato x509 in formato PEM

Se scarichi un certificato x509, devi convertirlo in formato PEM.

Per convertire un certificato x509 in formato PEM:

1. Copia i contenuti di ds:X509Certificate element dal file dei metadati del provider di identità SAML e incollali nel tuo editor di testo preferito.
2. Aggiungi la seguente riga all'inizio del file: -----BEGIN CERTIFICATE-----
3. Aggiungi la seguente riga in fondo al file: -----END CERTIFICATE-----
4. Salva il file utilizzando un'estensione .pem.

Di seguito è riportato un esempio dei contenuti del file PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----