Configurazione del provider di identità

Questa pagina si applica a Apigee e Apigee ibrido.

Visualizza la documentazione di Apigee Edge.

Per i portali integrati, puoi definire provider di identità che supportino i tipi di autenticazione definiti nella tabella seguente.

Tipo di autenticazione Descrizione
Integrato

Richiede agli utenti di trasferire le proprie credenziali (nome utente e password) al portale integrato per l'autenticazione.Quando crei un nuovo portale, il provider di identità integrato viene configurato e attivato.

Per comprendere l'esperienza di accesso dal punto di vista dell'utente, vedi Accedere al portale utilizzando le credenziali utente (provider integrato).
SAML (beta)

SAML (Security Assertion Markup Language) è un protocollo standard per l'ambiente Single Sign-On (SSO). L'autenticazione SSO tramite SAML consente agli utenti di accedere ai tuoi portali integrati Apigee senza dover creare nuovi account. Gli utenti accedono utilizzando le credenziali dell'account gestite centralmente.

Per comprendere l'esperienza di accesso dal punto di vista dell'utente, vedi Accedere al portale utilizzando l'autenticazione SAML (beta).

Vantaggi dell'autenticazione SAML per i portali integrati

La configurazione di SAML come provider di identità per un portale integrato offre i seguenti vantaggi:

  • Configura il tuo programma per sviluppatori una sola volta e riutilizzalo su più portali integrati. Scegli il tuo programma per sviluppatori quando crei il portale integrato. Aggiorna o modifica facilmente il programma per sviluppatori in base all'evoluzione dei requisiti.
  • Assumi il controllo completo della gestione utenti
    Connetti il server SAML della tua azienda al portale integrato. Quando gli utenti lasciano l'organizzazione ed viene eseguito il deprovisioning a livello centrale, non potranno più autenticarsi con il servizio SSO per utilizzare il portale integrato.

Configurazione del provider di identità integrato

Configura il provider di identità integrato, come descritto nelle sezioni seguenti.

Accesso alla pagina Provider di identità integrato

Per accedere al provider di identità integrato:

  1. Seleziona Pubblica > Portali nella barra di navigazione laterale per visualizzare l'elenco dei portali.
  2. Fai clic sulla riga del portale di cui vuoi visualizzare i team.
  3. Fai clic su Account nella pagina di destinazione del portale. In alternativa, puoi selezionare Account nel menu a discesa del portale nella barra di navigazione in alto.
  4. Fai clic sulla scheda Authentication (Autenticazione).
  5. Nella sezione Provider di identità, fai clic sul tipo di provider integrato.
  6. Configura il provider di identità integrato, come descritto nelle sezioni seguenti:

Abilitazione del provider di identità integrato

Per abilitare il provider di identità integrato:

  1. Accedi alla pagina Provider di identità integrato.
  2. Fai clic su nella sezione Configurazione del provider.

  3. Seleziona la casella di controllo Attivato per attivare il provider di identità.

    Per disattivare il provider di identità integrato, deseleziona la casella di controllo.

  4. Fai clic su Salva.

Limitazione della registrazione al portale in base all'indirizzo email o al dominio

Limita la registrazione al portale identificando i singoli indirizzi email (developer@some-company.com) o i domini email (some-company.com, senza il @ iniziale) che possono creare account sul tuo portale.

Per trovare la corrispondenza di tutti i sottodomini nidificati, anteponi la stringa con caratteri jolly *. a un dominio o a un sottodominio. Ad esempio, *.example.com corrisponderà a test@example.com, test@dev.example.com e così via.

Se viene lasciato vuoto, è possibile utilizzare qualsiasi indirizzo email per registrarsi sul portale.

Per limitare la registrazione al portale in base all'indirizzo email o al dominio:

  1. Accedi alla pagina Provider di identità integrato.
  2. Fai clic su nella sezione Configurazione del provider.
  3. Nella sezione Limitazioni dell'account, inserisci nella casella di testo un indirizzo email o un dominio email di cui vuoi consentire la registrazione e l'accesso al portale, quindi fai clic su +.
  4. Aggiungi altre voci, se necessario.
  5. Per eliminare una voce, fai clic sulla x accanto alla voce.
  6. Fai clic su Salva.

Configurazione delle notifiche via email

Per il provider integrato, puoi abilitare e configurare le seguenti notifiche email:

Notifica via email Destinatario Trigger Descrizione
Notifica accountProvider APIL'utente del portale crea un nuovo accountSe hai configurato il portale in modo da richiedere l'attivazione manuale degli account utente, devi attivare manualmente l'account utente prima che l'utente del portale possa accedere.
Verifica accountUtente del portaleL'utente del portale crea un nuovo accountFornisce un link sicuro per verificare la creazione dell'account. Il link scade tra 10 minuti.

Quando configuri le notifiche via email:

  • Utilizza i tag HTML per formattare il testo. Assicurati di inviare un'email di prova per confermare che la formattazione venga visualizzata come previsto.

  • Puoi inserire una o più delle seguenti variabili che verranno sostituite quando verrà inviata la notifica via email.

    Variabile Descrizione
    {{firstName}} Nome
    {{lastName}} Cognome
    {{email}} Indirizzo email
    {{siteurl}} Link al portale live
    {{verifylink}} Link utilizzato per la verifica dell'account

Per configurare le notifiche via email:

  1. Accedi alla pagina Provider di identità integrato.

  2. Per configurare le notifiche email inviate a:

    • Provider di API per l'attivazione di un nuovo account utente, fai clic su nella sezione Notifica account.
    • Agli utenti del portale per verificare la propria identità, fai clic su nella sezione Verifica account.

  3. Modifica i campi Oggetto e Corpo.

  4. Fai clic su Invia email di prova per inviare un'email di prova al tuo indirizzo email.

  5. Fai clic su Salva.

Configurare il provider di identità SAML (beta)

Configura il provider di identità SAML, come descritto nelle sezioni seguenti.

Accesso alla pagina del provider di identità SAML

Per accedere al provider di identità SAML:

  1. Seleziona Pubblica > Portali nella barra di navigazione laterale per visualizzare l'elenco dei portali.
  2. Fai clic sulla riga del portale di cui vuoi visualizzare i team.
  3. Fai clic su Account nella pagina di destinazione del portale. In alternativa, puoi selezionare Account nel menu a discesa del portale nella barra di navigazione in alto.
  4. Fai clic sulla scheda Authentication (Autenticazione).
  5. Nella sezione Provider di identità, fai clic sul tipo di provider SAML.

  6. Configura il provider di identità SAML, come descritto nelle sezioni seguenti:

Abilitazione del provider di identità SAML

Per attivare il provider di identità SAML:

  1. Accedi alla pagina del provider di identità SAML.
  2. Fai clic su nella sezione Configurazione del provider.

  3. Seleziona la casella di controllo Attivato per attivare il provider di identità.

    Per disattivare il provider di identità SAML, deseleziona la casella di controllo.

  4. Fai clic su Salva.

  5. Se hai configurato un dominio personalizzato, vedi Utilizzo di un dominio personalizzato con il provider di identità SAML.

Configurazione delle impostazioni SAML

Per configurare le impostazioni SAML:

  1. Accedi alla pagina del provider di identità SAML.
  2. Nella sezione SAML Settings (Impostazioni SAML), fai clic su .

  3. Fai clic su Copia accanto all'URL dei metadati del fornitore di servizi.

  4. Configura il provider di identità SAML utilizzando le informazioni contenute nel file di metadati del fornitore di servizi (SP).

    Per alcuni provider di identità SAML, ti verrà richiesto solo l'URL dei metadati. In altri casi, dovrai estrarre informazioni specifiche dal file di metadati e inserirle in un modulo.

    Nel secondo caso, incolla l'URL in un browser per scaricare il file dei metadati SP ed estrarre le informazioni richieste. Ad esempio, l'ID entità o l'URL di accesso possono essere estratti dai seguenti elementi nel file di metadati SP:

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

  5. Configura le impostazioni SAML per il provider di identità.

    Nella sezione SAML Settings (Impostazioni SAML), modifica i seguenti valori ottenuti dal file di metadati del provider di identità SAML:

    Impostazione SAMLDescrizione
    URL di accessoURL a cui gli utenti vengono reindirizzati per accedere al provider di identità SAML.
    Ad esempio: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL di uscitaURL a cui gli utenti vengono reindirizzati per uscire dal provider di identità SAML.

    Lascia vuoto questo campo se:

    • Il tuo provider di identità SAML non fornisce un URL di uscita
    • Non vuoi che gli utenti vengano disconnessi dal tuo provider di identità SAML quando escono dal portale integrato
    • Vuoi attivare un dominio personalizzato (fai riferimento al problema noto)
    ID entità dell'IdPID univoco per il provider di identità SAML.
    Ad esempio: http://www.okta.com/exkhgdyponHIp97po0h7

  6. Fai clic su Salva.

Configurazione degli attributi utente personalizzati per il provider di identità SAML

Per garantire una mappatura corretta tra il provider di identità SAML e gli account utente del portale, ti consigliamo di creare e configurare gli attributi utente personalizzati per il tuo provider di identità SAML definiti nella tabella seguente. Imposta il valore di ogni attributo personalizzato sull'attributo utente corrispondente definito dal tuo provider di identità SAML (ad esempio, Okta).

Attributo personalizzato Esempio (Okta)
first_name user.firstName
last_name user.lastName
email user.email

Di seguito viene illustrato come configurare gli attributi utente personalizzati e l'attributo NameID utilizzando Okta come provider di identità SAML di terze parti.

Utilizzo di un dominio personalizzato con il provider di identità SAML

Dopo aver configurato e attivato il provider di identità SAML, puoi configurare un dominio personalizzato (ad esempio developers.example.com), come descritto in Personalizzare il dominio.

È importante mantenere sincronizzate le impostazioni di configurazione tra il dominio personalizzato e il provider di identità SAML. Se le impostazioni di configurazione non sono sincronizzate, potresti riscontrare problemi durante l'autorizzazione. Ad esempio, la richiesta di autorizzazione inviata al provider di identità SAML potrebbe avere un valore AssertionConsumerServiceURL che non è definito utilizzando il dominio personalizzato.

Per mantenere sincronizzate le impostazioni di configurazione tra il dominio personalizzato e il provider di identità SAML:

  • Se configuri o aggiorni il dominio personalizzato dopo aver attivato e configurato il provider di identità SAML, salva la configurazione del dominio personalizzato e assicurati che sia attivata. Attendi circa 30 minuti in modo che la cache venga invalidata, quindi riconfigura il provider di identità SAML utilizzando le informazioni aggiornate nel file di metadati del fornitore di servizi (SP), come descritto in Configurare le impostazioni SAML. Dovresti vedere il tuo dominio personalizzato nei metadati SP.

  • Se configuri un dominio personalizzato prima di configurare e attivare il provider di identità SAML, devi reimpostare il dominio personalizzato (descritto sotto) per assicurarti che il provider di identità SAML sia configurato correttamente.

  • Se devi reimpostare (disattivare e riattivare) il provider di identità SAML, come descritto in Attivare il provider di identità SAML, devi anche reimpostare il dominio personalizzato (descritto di seguito).

Reimpostazione del dominio personalizzato

Per reimpostare (disattivare e attivare) il dominio personalizzato:

  1. Seleziona Pubblica > Portali nel menu di navigazione a sinistra e seleziona il tuo portale.
  2. Seleziona Impostazioni nel menu a discesa della barra di navigazione in alto o nella pagina di destinazione.
  3. Fai clic sulla scheda Domains (Domini).
  4. Fai clic su Disabilita per disattivare il dominio personalizzato.
  5. Fai clic su Attiva per riattivare il dominio personalizzato.

Per ulteriori informazioni, vedi Personalizzazione del dominio.

Caricare un nuovo certificato

Per caricare un nuovo certificato:

  1. Scarica il certificato dal tuo provider di identità SAML.

  2. Accedi alla pagina del provider di identità SAML.

  3. Fai clic sulla riga della zona di identità per la quale vuoi caricare un nuovo certificato.

  4. Nella sezione Certificato, fai clic su .

  5. Fai clic su Sfoglia e vai al certificato nella directory locale.

  6. Fai clic su Apri per caricare il nuovo certificato.
    I campi delle informazioni sul certificato vengono aggiornati per riflettere il certificato selezionato.

  7. Verifica che il certificato sia valido e che non sia scaduto.

  8. Fai clic su Salva.

Conversione di un certificato x509 in formato PEM

Se scarichi un certificato x509, devi convertirlo in formato PEM.

Per convertire un certificato x509 in formato PEM:

  1. Copia i contenuti dell'elemento ds:X509Certificate element dal file dei metadati del provider di identità SAML e incollalo nel tuo editor di testo preferito.
  2. Aggiungi la seguente riga all'inizio del file:
    -----BEGIN CERTIFICATE-----
  3. Aggiungi la seguente riga in fondo al file:
    -----END CERTIFICATE-----
  4. Salva il file utilizzando un'estensione .pem.

Di seguito è riportato un esempio dei contenuti del file PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----