設定識別資訊提供者

本頁內容適用於 ApigeeApigee Hybrid

查看 Apigee Edge 說明文件。

如果是整合式入口網站,您可以定義身分識別提供者,支援下表定義的驗證類型。

驗證類型 說明
內建

要求使用者將憑證 (使用者名稱和密碼) 傳遞至整合式入口網站進行驗證。建立新入口網站時,系統會設定並啟用內建的識別資訊提供者。

如要從使用者角度瞭解登入體驗,請參閱「使用使用者憑證登入入口網站 (內建供應商)」。
SAML (預先發布版)

安全宣告標記語言 (SAML) 是單一登入 (SSO) 環境的標準通訊協定。使用 SAML 進行 SSO 驗證後,使用者不必建立新帳戶,就能登入 Apigee 整合式入口網站。使用者透過集中管理的帳戶憑證登入。

如要從使用者角度瞭解登入體驗,請參閱「使用 SAML 驗證登入入口網站 (預覽版)」。

整合式入口網站採用 SAML 驗證的優點

將 SAML 設定為整合式入口網站的識別資訊提供者,可享有下列優點:

  • 設定一次開發人員計畫,即可在多個整合式入口網站重複使用。 建立整合式入口網站時,請選擇開發人員計畫。隨著需求演變,輕鬆更新或變更開發人員計畫。
  • 全面掌控使用者管理作業 將公司 SAML 伺服器連線至整合式入口網站。使用者離開貴機構並集中取消佈建後,就無法再透過 SSO 服務驗證身分,使用整合式入口網站。

設定內建的識別資訊提供者

按照下列各節的說明設定內建身分識別提供者。

存取「內建識別資訊提供者」頁面

如要存取內建識別資訊提供者,請按照下列步驟操作:

  1. 開啟「入口」頁面。

    Cloud 控制台 UI

    在 Apigee in Cloud 控制台中,前往「Distribution」>「Portals」頁面。

    前往入口網站

    傳統版 UI

    在側邊導覽列中選取「發布」>「入口網站」,即可顯示入口網站清單。

  2. 找出要查看身分識別提供者的入口網站,然後按一下對應的資料列。

  3. 按一下 [帳戶]

  4. 按一下 [Authentication] (驗證) 分頁標籤。

  5. 在「身分提供者」部分中,按一下「內建」提供者類型。

  6. 設定內建的識別資訊提供者,詳情請參閱下列章節:

啟用內建識別資訊提供者

如要啟用內建的識別資訊提供者,請按照下列步驟操作:

  1. 存取「內建識別資訊提供者」頁面

  2. 開啟編輯器。

    Cloud 控制台 UI

    按一下「Edit」(編輯)

    傳統版 UI

    按一下「供應商設定」部分中的

  3. 勾選「已啟用」核取方塊,啟用身分識別提供者。 如要停用內建身分識別資訊提供者,請清除核取方塊。

  4. 按一下 [儲存]

依電子郵件地址或網域限制入口網站註冊

識別可建立入口網站帳戶的個別電子郵件地址 (developer@some-company.com) 或電子郵件網域 (some-company.com,不含開頭的 @),限制入口網站註冊。

如要比對所有巢狀子網域,請在網域或子網域前面加上 *. 萬用字元字串。舉例來說,*.example.com 會比對 test@example.comtest@dev.example.com 等。

如果留空,任何電子郵件地址都能用來在入口網站註冊。

如要依電子郵件地址或網域限制入口網站註冊,請按照下列步驟操作:

  1. 存取「內建識別資訊提供者」頁面

  2. 新增一或多個電子郵件地址。

    Cloud 控制台 UI

    1. 按一下「Edit」(編輯)
    2. 按一下「+ 新增電子郵件」
    3. 輸入允許註冊及登入入口網站的電子郵件地址或電子郵件網域。
    4. 視需要新增其他項目。
    5. 如要刪除項目,請按一下項目旁的「刪除」

    傳統版 UI

    1. 按一下「供應商設定」部分中的
    2. 在「帳戶限制」部分,於文字方塊中輸入要允許註冊及登入入口網站的電子郵件地址或電子郵件網域,然後按一下「+」
    3. 視需要新增其他項目。
    4. 如要刪除項目,請按一下項目旁的「x」x

  3. 按一下 [儲存]

設定電子郵件通知

如果是內建供應商,您可以啟用及設定下列電子郵件通知:

電子郵件通知 收件者 觸發條件 說明
帳戶通知API 供應商入口網站使用者建立新帳戶如果將入口網站設為必須手動啟用使用者帳戶,您必須手動啟用使用者帳戶,入口網站使用者才能登入。
帳戶驗證入口網站使用者入口網站使用者建立新帳戶提供安全連結,用於驗證帳戶建立作業。連結將在 10 分鐘後失效。

設定電子郵件通知時,請注意以下事項:

  • 使用 HTML 標記設定文字格式。請務必傳送測試電子郵件,確認格式符合預期。

  • 您可以插入一或多個下列變數,系統會在傳送電子郵件通知時替換這些變數。

    變數 說明
    {{firstName}} 名字
    {{lastName}} 姓氏
    {{email}} 電子郵件地址
    {{siteurl}} 線上入口網站的連結
    {{verifylink}} 用於帳戶驗證的連結

如要設定電子郵件通知,請按照下列步驟操作:

  1. 存取「內建識別資訊提供者」頁面

  2. 設定電子郵件通知。

    Cloud 控制台 UI

    按一下「Edit」(編輯)

    傳統版 UI

    如要設定電子郵件通知的傳送對象,請按照下列步驟操作:

    • 如果是新使用者帳戶啟用 API 供應商,請按一下「帳戶通知」部分中的
    • 如要驗證入口網站使用者的身分,請按一下「帳戶驗證」部分中的

  3. 編輯「Subject」(主旨) 和「Body」(內文) 欄位。

  4. 按一下 [儲存]

設定 SAML 識別資訊提供者 (預先發布版)

按照下列各節的說明設定 SAML 識別資訊提供者。

存取 SAML 識別資訊提供者頁面

如要存取 SAML 識別資訊提供者,請按照下列步驟操作:

  1. 開啟「入口」頁面。

    Cloud 控制台 UI

    在 Apigee in Cloud 控制台中,前往「Distribution」>「Portals」頁面。

    前往入口網站

    傳統版 UI

    在側邊導覽列中選取「發布」>「入口網站」,即可顯示入口網站清單。

  2. 找出要查看身分識別提供者的入口網站,然後按一下對應的資料列。

  3. 按一下 [帳戶]

  4. 按一下 [Authentication] (驗證) 分頁標籤。

  5. 在「身分識別提供者」部分,按一下「SAML」提供者類型。

  6. 請按照下列各節所述,設定 SAML 識別資訊提供者:

啟用 SAML 識別資訊提供者

如要啟用 SAML 識別資訊提供者,請按照下列步驟操作:

  1. 存取 SAML 識別資訊提供者頁面

  2. 開啟編輯器。

    Cloud 控制台 UI

    按一下「Edit」(編輯)

    傳統版 UI

    按一下「供應商設定」部分中的

  3. 勾選「已啟用」核取方塊,啟用身分識別提供者。

    如要停用 SAML 識別資訊提供者,請取消勾選核取方塊。

  4. 按一下 [儲存]

  5. 如果您已設定自訂網域,請參閱「搭配 SAML 識別資訊提供者使用自訂網域」。

設定 SAML

如要設定 SAML 設定,請按照下列步驟操作:

  1. 存取 SAML 識別資訊提供者頁面

  2. 開啟編輯器。

    Cloud 控制台 UI

    按一下「Edit」(編輯)

    傳統版 UI

    按一下「SAML Configuration」部分中的

  3. 按一下「服務供應商中繼資料網址」旁的「複製」

  4. 使用服務供應商 (SP) 中繼資料檔案中的資訊,設定 SAML 識別資訊提供者。

    系統只會提示您輸入中繼資料網址,如果是其他 IdP,您需要從中繼資料檔案擷取特定資訊,然後輸入表單。

    在後者的情況下,請將網址貼到瀏覽器中,下載 SP 中繼資料檔案並擷取必要資訊。舉例來說,您可以從 SP 中繼資料檔案的下列元素中,擷取實體 ID 或登入網址:

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

  5. 設定識別資訊提供者的 SAML 設定。

    在「SAML Settings」部分,編輯從 SAML 識別資訊提供者中繼資料檔案取得的下列值:

    SAML 設定說明
    登入網址使用者重新導向的網址,可登入 SAML 識別資訊提供者。
    例如:https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    登出網址使用者登出 SAML 識別資訊提供者時重新導向的網址。

    如果符合下列情況,請將這個欄位留空

    • 您的 SAML 識別資訊提供者未提供登出網址
    • 您不希望使用者登出整合式入口網站時,也登出 SAML 識別資訊提供者
    • 您想啟用自訂網域 (請參閱已知問題)
    IDP 實體 IDSAML 識別資訊提供者的專屬 ID。
    例如:http://www.okta.com/exkhgdyponHIp97po0h7

  6. 按一下 [儲存]

為 SAML 識別資訊提供者設定自訂使用者屬性

為確保 SAML 識別資訊提供者與入口網站使用者帳戶之間的對應正確無誤,建議您為 SAML 識別資訊提供者建立並設定下表定義的自訂使用者屬性。將每個自訂屬性的值,設為 SAML 識別資訊提供者 (例如 Okta) 定義的對應使用者屬性。

自訂屬性 範例 (Okta)
first_name user.firstName
last_name user.lastName
email user.email

以下說明如何使用 Okta 做為第三方 SAML 識別資訊提供者,設定自訂使用者屬性和 NameID 屬性。

使用自訂網域搭配 SAML 識別資訊提供者

設定並啟用 SAML 識別資訊提供者後,即可設定自訂網域 (例如 developers.example.com),詳情請參閱「自訂網域」。

請務必確保自訂網域和 SAML 識別資訊提供者的設定保持同步。如果設定不同步,授權時可能會發生問題。舉例來說,傳送至 SAML 識別資訊提供者的授權要求可能含有 AssertionConsumerServiceURL,但該 AssertionConsumerServiceURL 並非使用自訂網域定義。

如要讓自訂網域和 SAML 識別資訊提供者的設定保持同步:

  • 如果您在啟用及設定 SAML 識別資訊提供者,才設定或更新自訂網域,請儲存自訂網域設定並確認已啟用。請等待約 30 分鐘,讓快取失效,然後使用服務供應商 (SP) 中繼資料檔案中的更新資訊,重新設定 SAML 身分識別提供者,詳情請參閱「設定 SAML 設定」。您應該會在 SP 中繼資料中看到自訂網域。

  • 如果您設定自訂網域,再設定並啟用 SAML 識別資訊提供者,則必須重設自訂網域 (如下所述),確保 SAML 識別資訊提供者設定正確無誤。

  • 如需重設 (停用並重新啟用) SAML 識別資訊提供者,請按照「啟用 SAML 識別資訊提供者」一文的說明操作,同時也必須重設自訂網域 (如下所述)。

重設自訂網域

如要重設 (停用及啟用) 自訂網域,請按照下列步驟操作:

  1. 開啟「入口」頁面。

    Cloud 控制台 UI

    在 Apigee in Cloud 控制台中,前往「Distribution」>「Portals」頁面。

    前往入口網站

    傳統版 UI

    在側邊導覽列中選取「發布」>「入口網站」,即可顯示入口網站清單。

  2. 按一下入口網站。

  3. 按一下「設定」

  4. 按一下 [Domains] 分頁標籤。

  5. 按一下「停用」即可停用自訂網域。

  6. 按一下「啟用」即可啟用自訂網域。

詳情請參閱自訂網域

上傳新憑證

如要上傳新憑證,請按照下列步驟操作:

  1. 從 SAML 識別資訊提供者下載憑證。

  2. 存取 SAML 識別資訊提供者頁面

  3. 開啟編輯器。

    Cloud 控制台 UI

    按一下「Edit」(編輯)

    傳統版 UI

    按一下「憑證」部分中的

  4. 按一下「瀏覽」,然後前往本機目錄中的憑證。

  5. 按一下「開啟」,上傳新憑證。 系統會更新「憑證資訊」欄位,反映所選憑證。

  6. 確認憑證有效且尚未過期。

  7. 按一下 [儲存]

將 x509 憑證轉換為 PEM 格式

如果下載的是 x509 憑證,請將其轉換為 PEM 格式。

如要將 x509 憑證轉換為 PEM 格式,請按照下列步驟操作:

  1. 從 SAML 識別資訊提供者中繼資料檔案複製 ds:X509Certificate element 的內容,然後貼到慣用的文字編輯器。
  2. 在檔案頂端新增下列程式碼: -----BEGIN CERTIFICATE-----
  3. 在檔案底部加入下列指令行: -----END CERTIFICATE-----
  4. 使用 .pem 副檔名儲存檔案。

PEM 檔案內容範例如下:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----