Configurazione del provider di identità

Questa pagina si applica ad Apigee e Apigee hybrid.

Visualizza la documentazione di Apigee Edge.

Per i portali integrati, puoi definire provider di identità che supportino i tipi di autenticazione definiti nella tabella seguente.

Tipo di autenticazione Descrizione
Integrata

Richiede agli utenti di passare le proprie credenziali (nome utente e password) al portale integrato per l'autenticazione.Quando crei un nuovo portale, il provider di identità integrato viene configurato e abilitato.

Per comprendere l'esperienza di accesso dal punto di vista dell'utente, vedi Accedere al portale utilizzando le credenziali utente (provider integrato).

SAML (beta)

SAML (Security Assertion Markup Language) è un protocollo standard per l'ambiente Single Sign-On (SSO). L'autenticazione SSO tramite SAML consente agli utenti di accedere ai portali integrati Apigee senza dover creare nuovi account. Gli utenti accedono utilizzando le credenziali dell'account gestito centralmente.

Per comprendere l'esperienza di accesso dal punto di vista dell'utente, vedi Accedere al portale utilizzando l'autenticazione SAML (beta).

Vantaggi dell'autenticazione SAML per i portali integrati

La configurazione di SAML come provider di identità per un portale integrato offre i seguenti vantaggi:

  • Configura il tuo programma per sviluppatori una sola volta e riutilizzalo su più portali integrati. Scegli il tuo programma per sviluppatori durante la creazione del portale integrato. Aggiorna o modifica facilmente il programma per gli sviluppatori in base all'evolversi dei requisiti.
  • Assumi il controllo completo della gestione degli utenti
    Connetti il server SAML della tua azienda al portale integrato. Quando gli utenti lasciano l'organizzazione e viene eseguito il deprovisioning a livello centrale, non potranno più autenticarsi con il servizio SSO per utilizzare il portale integrato.

Configurazione del provider di identità integrato

Configura il provider di identità integrato, come descritto nelle sezioni seguenti.

Accesso alla pagina del provider di identità integrato

Per accedere al provider di identità integrato:

  1. Seleziona Pubblica > Portali nella barra di navigazione laterale per visualizzare l'elenco dei portali.
  2. Fai clic sulla riga del portale per il quale vuoi visualizzare i team.
  3. Fai clic su Account nella pagina di destinazione del portale. In alternativa, puoi selezionare Account nel menu a discesa del portale nella barra di navigazione in alto.
  4. Fai clic sulla scheda Authentication (Autenticazione).
  5. Nella sezione Provider di identità, fai clic sul tipo di provider integrato.
  6. Configura il provider di identità integrato, come descritto nelle sezioni seguenti:

Attivazione del provider di identità integrato

Per abilitare il provider di identità integrato:

  1. Accedi alla pagina del provider di identità integrato.
  2. Fai clic su nella sezione Configurazione provider.
  3. Seleziona la casella di controllo Attivato per attivare il provider di identità.

    Per disattivare il provider di identità integrato, deseleziona la casella di controllo.

  4. Fai clic su Salva.

Limitazione della registrazione al portale in base all'indirizzo email o al dominio

Limita la registrazione nel portale identificando i singoli indirizzi email (developer@some-company.com) o domini email (some-company.com, senza il prefisso @) che possono creare account sul tuo portale.

Per trovare la corrispondenza con tutti i sottodomini nidificati, anteponi la stringa con caratteri jolly *. a un dominio o a un sottodominio. Ad esempio, *.example.com corrisponderà a test@example.com, test@dev.example.com e così via.

Se lasciato vuoto, qualsiasi indirizzo e-mail può essere utilizzato per la registrazione sul portale.

Per limitare la registrazione al portale in base all'indirizzo email o al dominio:

  1. Accedi alla pagina del provider di identità integrato.
  2. Fai clic su nella sezione Configurazione provider.
  3. Nella sezione Limitazioni account, inserisci un indirizzo email o un dominio email a cui vuoi consentire la registrazione e accedi al portale nella casella di testo e fai clic su +.
  4. Aggiungi altre voci, se necessario.
  5. Per eliminare una voce, fai clic sulla x accanto alla voce.
  6. Fai clic su Salva.

Configurazione delle notifiche via email

Per il provider integrato, puoi attivare e configurare le seguenti notifiche email:

Notifica email Destinatario Trigger Descrizione
Notifica accountProvider di APIL'utente del portale crea un nuovo accountSe hai configurato il portale in modo da richiedere l'attivazione manuale degli account utente, devi attivare manualmente l'account utente prima che l'utente del portale possa accedere.
Verifica accountUtente del portaleL'utente del portale crea un nuovo accountFornisce un link sicuro per verificare la creazione dell'account. Il link scade dopo 10 minuti.

Quando configuri le notifiche via email:

  • Utilizza i tag HTML per formattare il testo. Invia un'email di prova per verificare che la formattazione venga visualizzata come previsto.
  • Puoi inserire una o più delle seguenti variabili che verranno sostituite all'invio della notifica via email.

    Variabile Descrizione
    {{firstName}} Nome
    {{lastName}} Cognome
    {{email}} Indirizzo email
    {{siteurl}} Link al portale live
    {{verifylink}} Link utilizzato per la verifica dell'account

Per configurare le notifiche via email:

  1. Accedi alla pagina del provider di identità integrato.
  2. Per configurare le notifiche email inviate a:

    • Se provider API per l'attivazione di un nuovo account utente, fai clic su nella sezione Notifica account.
    • Agli utenti del portale per verificare la propria identità, fai clic su nella sezione Verifica account.
  3. Modifica i campi Oggetto e Corpo.

  4. Fai clic su Invia email di prova per inviare un'email di prova al tuo indirizzo email.

  5. Fai clic su Salva.

Configurazione del provider di identità SAML (beta)

Configura il provider di identità SAML, come descritto nelle sezioni seguenti.

Accesso alla pagina del provider di identità SAML

Per accedere al provider di identità SAML:

  1. Seleziona Pubblica > Portali nella barra di navigazione laterale per visualizzare l'elenco dei portali.
  2. Fai clic sulla riga del portale per il quale vuoi visualizzare i team.
  3. Fai clic su Account nella pagina di destinazione del portale. In alternativa, puoi selezionare Account nel menu a discesa del portale nella barra di navigazione in alto.
  4. Fai clic sulla scheda Authentication (Autenticazione).
  5. Nella sezione Identity provider (Provider di identità), fai clic sul tipo di provider SAML.
  6. Configura il provider di identità SAML, come descritto nelle sezioni seguenti:

Attivazione del provider di identità SAML

Per attivare il provider di identità SAML:

  1. Accedi alla pagina del provider di identità SAML.
  2. Fai clic su nella sezione Configurazione provider.
  3. Seleziona la casella di controllo Attivato per attivare il provider di identità.

    Per disattivare il provider di identità SAML, deseleziona la casella di controllo.

  4. Fai clic su Salva.

  5. Se hai configurato un dominio personalizzato, consulta Utilizzo di un dominio personalizzato con il provider di identità SAML.

Configurazione delle impostazioni SAML

Per configurare le impostazioni SAML:

  1. Accedi alla pagina del provider di identità SAML.
  2. Nella sezione SAML Settings (Impostazioni SAML), fai clic su .
  3. Fai clic su Copia accanto all'URL dei metadati SP.

  4. Configura il tuo provider di identità SAML utilizzando le informazioni contenute nel file di metadati del fornitore di servizi (SP).

    Per alcuni provider di identità SAML, ti verrà richiesto solo l'URL dei metadati. In altri casi, dovrai estrarre informazioni specifiche dal file di metadati e inserirle in un modulo.

    In quest'ultimo caso, incolla l'URL in un browser per scaricare il file di metadati SP ed estrarre le informazioni richieste. Ad esempio, l'ID entità o l'URL di accesso possono essere estratti dai seguenti elementi nel file di metadati SP:

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
  5. Configura le impostazioni SAML per il provider di identità.

    Nella sezione Impostazioni SAML, modifica i seguenti valori ottenuti dal file di metadati del provider di identità SAML:

    Impostazione SAMLDescrizione
    URL di accessoURL a cui gli utenti vengono reindirizzati per accedere al provider di identità SAML.
    Ad esempio: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL di uscitaURL a cui gli utenti vengono reindirizzati per uscire dal provider di identità SAML.

    Lascia vuoto questo campo se:

    • Il tuo provider di identità SAML non fornisce un URL di uscita
    • Non vuoi che gli utenti vengano disconnessi dal provider di identità SAML quando escono dal portale integrato
    • Vuoi attivare un dominio personalizzato (consulta il problema noto)
    ID entità dell'IdPID univoco per il provider di identità SAML.
    Ad esempio: http://www.okta.com/exkhgdyponHIp97po0h7
  6. Fai clic su Salva.

Configurazione degli attributi utente personalizzati per il provider di identità SAML

Per garantire una mappatura corretta tra il provider di identità SAML e gli account utente del portale, ti consigliamo di creare e configurare gli attributi utente personalizzati definiti nella tabella seguente per il tuo provider di identità SAML. Imposta il valore di ogni attributo personalizzato sull'attributo utente corrispondente definito dal tuo provider di identità SAML (ad esempio Okta).

Attributo personalizzato Esempio (Okta)
first_name user.firstName
last_name user.lastName
email user.email

Di seguito viene mostrato come configurare gli attributi utente personalizzati e l'attributo NameID utilizzando Okta come provider di identità SAML di terze parti.

Utilizzo di un dominio personalizzato con il provider di identità SAML

Dopo aver configurato e attivato il provider di identità SAML, puoi configurare un dominio personalizzato (ad esempio developers.example.com), come descritto in Personalizzare il dominio.

È importante mantenere sincronizzate le impostazioni di configurazione tra il dominio personalizzato e il provider di identità SAML. Se le impostazioni di configurazione non sono sincronizzate, potresti riscontrare problemi durante l'autorizzazione. Ad esempio, la richiesta di autorizzazione inviata al provider di identità SAML potrebbe avere un AssertionConsumerServiceURL non definito mediante il dominio personalizzato.

Per mantenere sincronizzate le impostazioni di configurazione tra il dominio personalizzato e il provider di identità SAML:

  • Se configuri o aggiorni il dominio personalizzato dopo aver attivato e configurato il provider di identità SAML, salva la configurazione del dominio personalizzato e assicurati che sia attivata. Attendi circa 30 minuti affinché la cache venga invalidata, quindi riconfigura il provider di identità SAML utilizzando le informazioni aggiornate nel file di metadati del fornitore di servizi (SP), come descritto in Configurare le impostazioni SAML. Il tuo dominio personalizzato dovrebbe essere visualizzato in SP Metadata.

  • Se configuri un dominio personalizzato prima di configurare e attivare il provider di identità SAML, devi reimpostare il dominio personalizzato (descritto di seguito) per assicurarti che il provider di identità SAML sia configurato correttamente.

  • Se devi reimpostare (disattivare e riattivare) il provider di identità SAML, come descritto in Attivare il provider di identità SAML, devi anche Reimpostare il dominio personalizzato (come descritto di seguito).

Reimpostazione del dominio personalizzato

Per reimpostare (disattivare e attivare) il dominio personalizzato:

  1. Seleziona Pubblica > Portali nel riquadro di navigazione a sinistra e seleziona il tuo portale.
  2. Seleziona Impostazioni nel menu a discesa nella barra di navigazione in alto o nella pagina di destinazione.
  3. Fai clic sulla scheda Domains (Domini).
  4. Fai clic su Disattiva per disattivare il dominio personalizzato.
  5. Fai clic su Attiva per riattivare il dominio personalizzato.

Per ulteriori informazioni, vedi Personalizzazione del dominio.

Caricamento di un nuovo certificato

Per caricare un nuovo certificato:

  1. Scarica il certificato dal tuo provider di identità SAML.

  2. Accedi alla pagina del provider di identità SAML.

  3. Fai clic sulla riga della zona di identità per la quale vuoi caricare un nuovo certificato.

  4. Nella sezione Certificato, fai clic su .

  5. Fai clic su Sfoglia e vai al certificato nella directory locale.

  6. Fai clic su Apri per caricare il nuovo certificato.
    I campi Informazioni del certificato vengono aggiornati in modo da riflettere il certificato selezionato.

  7. Verifica che il certificato sia valido e che non sia scaduto.

  8. Fai clic su Salva.

Conversione di un certificato x509 in formato PEM

Se scarichi un certificato x509, devi convertirlo in formato PEM.

Per convertire un certificato x509 in formato PEM:

  1. Copia il contenuto dell'elemento ds:X509Certificate element dal file di metadati del provider di identità SAML e incollalo nel tuo editor di testo preferito.
  2. Aggiungi la seguente riga all'inizio del file:
    -----BEGIN CERTIFICATE-----
  3. Aggiungi la seguente riga alla fine del file:
    -----END CERTIFICATE-----
  4. Salva il file utilizzando un'estensione .pem.

Di seguito è riportato un esempio dei contenuti del file PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----