注意:此产品的某些方面处于 Beta 版阶段。Hybrid 安装选项是 GA。要加入 Beta 版计划,请与您的 Apigee 代表联系。

配置身份提供商

创建新门户时,系统会配置并启用内置身份提供商。内置身份提供商会提示用户输入帐号凭据(用户名和密码),以访问开发者门户。此外,您还可以配置并启用 SAML 身份提供商。

配置内置SAML(Beta 版)身份提供商,具体如以下部分所述。

配置内置身份提供商

配置内置身份提供商,具体如以下部分所述。

访问内置身份提供商页面

如需访问内置身份提供商,请执行以下操作:

  1. 在左侧导航栏中选择发布 > 开发者计划,以访问“开发者计划”页面
  2. 点击要为之配置身份提供商的开发者计划的那一行。
  3. 点击配置标签页。
  4. 身份提供商部分中,点击内置提供商类型。
  5. 配置内置身份提供商,具体如以下部分所述:

启用内置身份提供商

如需启用内置身份提供商,请执行以下操作:

  1. 访问内置身份提供商页面
  2. 点击提供商配置部分中的
  3. 选中已启用复选框以启用身份提供商。

    如需停用内置身份提供商,请取消选中该复选框。

    注意:必须启用至少一个身份提供商,以便用户登录。

  4. 点击保存

按电子邮件地址或域名限制门户注册

通过识别可在您的门户上创建帐号的各个电子邮件地址 (developer@some-company.com) 或电子邮件网域(some-company.com,开头没有 @),限制门户注册。

如需匹配所有嵌套子网域,请在域名或子域名前面添加 *. 通配符字符串。例如,*.example.com 将匹配 test@example.comtest@dev.example.com,依此类推。

如果留空,则任何电子邮件地址都可用于在门户上注册。

如需按电子邮件地址或域名限制门户注册,请执行以下操作:

  1. 访问内置身份提供商页面
  2. 点击提供商配置部分中的
  3. 在“帐号限制”部分中,请在文本框内输入要允许注册或登录门户的电子邮件地址或电子邮件网域,然后点击 +
  4. 根据需要添加其他条目。
  5. 如需删除条目,请点击条目旁边的 x
  6. 点击保存

配置电子邮件通知

注意:Apigee 建议您为从门户发出的电子邮件通知配置 SMTP 服务器。请参阅配置 SMTP 服务器

对于内置提供商,您可以启用和配置以下电子邮件通知:

电子邮件通知 收件人 触发器 说明
帐号通知API 提供方门户用户创建一个新帐号如果您已将门户配置为需要手动激活开发者帐号,则需要先手动激活开发者帐号,然后门户用户才能登录。

注意

  • 确保为开发者计划配置新开发者帐号注册通知
  • 对于 Beta 版,门户用户不会收到任何提示,表示其帐号必须手动激活才能登录。如果您配置手动激活,建议您加快新开发者帐号的激活速度。
帐号验证门户用户门户用户创建一个新帐号提供用于验证帐号创建的安全链接。链接将于 10 分钟后过期。

配置电子邮件通知时:

  • 使用 HTML 标记设置文本格式。请务必发送测试电子邮件以验证格式是否符合预期。
  • 您可以插入以下一个或多个变量,当电子邮件通知发出时,这些变量将被替换。

    变量 说明
    {{firstName}} 名字
    {{lastName}} 姓氏
    {{email}} 电子邮件地址
    {{siteurl}} 线上门户链接
    {{verifylink}} 用于验证帐号的链接

要配置电子邮件通知,请按以下步骤操作:

  1. 访问内置身份提供商页面
  2. 要配置电子邮件通知发送至,请按以下步骤操作:

    • 用于激活新开发者帐号的 API 提供商,请点击帐号通知部分中的
    • 门户用户,以验证其身份,请点击帐号验证部分中的
  3. 修改主题正文字段。

  4. 点击发送测试电子邮件,向您的电子邮件地址发送测试电子邮件。

  5. 点击保存

配置 SAML 身份提供商(Beta 版)

按照以下各部分中的说明配置 SAML 身份提供商。

访问 SAML 身份提供商页面

要访问 SAML 身份提供商,请执行以下操作:

  1. 在左侧导航栏中选择发布 > 开发者计划,以访问“开发者计划”页面
  2. 点击要为之配置身份提供商的开发者计划的那一行。
  3. 点击配置标签页。
  4. 身份提供商部分中,点击 SAML 提供商类型。
  5. 按照以下各部分中的说明配置 SAML 身份提供商:

启用 SAML 身份提供商

要启用 SAML 身份提供商,请执行以下操作:

  1. 访问 SAML 身份提供商页面
  2. 点击提供商配置部分中的
  3. 选中已启用复选框以启用身份提供商。

    如需停用 SAML 身份提供商,请取消选中该复选框。

    注意:必须启用至少一个身份提供商,以便用户登录。

  4. 点击保存

  5. 如果您已配置自定义网域,请参阅通过 SAML 身份提供商使用自定义网域

配置 SAML 设置

要配置 SAML 设置,请执行以下操作:

  1. 访问 SAML 身份提供商页面
  2. SAML 设置部分中,点击
  3. 点击 SP 元数据网址旁边的复制

    注意:SAML 身份提供商必须启用才能填充 SP 元数据网址。

  4. 使用服务提供商 (SP) 元数据文件中的信息配置 SAML 身份提供商。

    对于某些 SAML 身份提供商,系统只会向您提示元数据网址。对于其他,您需要从元数据文件中提取特定信息并将其输入到表单中。

    在后一种情况下,请将网址粘贴到浏览器中以下载 SP 元数据文件,然后提取所需信息。例如,实体 ID 或登录网址可以从 SP 元数据文件中的以下元素提取:

    注意:在 SP 元数据文件中,登录网址称为 AssertionConsumerService (ACS) 网址。

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>
  5. 身份提供商配置 SAML 设置。

    SAML 设置部分中,修改从 SAML 身份提供商元数据文件中获取的以下值:

    SAML 设置说明
    登录网址用户被重定向到以登录 SAML 身份提供商的网址。
    例如:https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    “退出帐号”网址用户被重定向到以退出 SAML 身份提供商的网址。
    注意:如果您的 SAML 身份提供商没有提供退出帐号网址,或者您不希望用户在退出集成门户时退出 SAML 身份提供商,请将此字段留空。
    身份提供商实体 IDSAML 身份提供商的唯一 ID。
    例如:http://www.okta.com/exkhgdyponHIp97po0h7
  6. 点击保存

为 SAML 身份提供商配置自定义用户属性

为确保 SAML 身份提供商和门户开发者帐号之间能够正确映射,建议您在下表中为自己的 SAML 身份提供商创建和配置自定义用户属性。将每个自定义属性的值设置为 SAML 身份提供商定义的相应用户属性(例如,Okta)。

自定义属性 示例 (Okta)
first_name user.firstName
last_name user.lastName
email user.email

下面展示了如何使用 Okta 作为第三方 SAML 身份提供商来配置自定义用户属性和 NameID 属性。

通过 SAML 身份提供商使用自定义网域

配置并启用 SAML 身份提供商后,您可以按照自定义您的网域中的说明配置自定义网域(例如 developers.example.com)。

务必确保配置设置在自定义网域与 SAML 身份提供商之间保持同步。如果配置设置不同步,您在授权过程中可能会遇到问题。例如,发送到 SAML 身份提供商的授权请求可能包含不是使用自定义网域定义的 AssertionConsumerServiceURL

要使配置设置在自定义网域和 SAML 身份提供商之间保持同步,请执行以下操作:

  • 如果在启用和配置 SAML 身份提供商之后配置或更新自定义网域,请保存自定义网域配置并确保已启用该配置。然后重置自定义网域(如下所述)并使用服务提供商 (SP) 元数据文件中更新后的信息重新配置 SAML 身份提供商(如配置 SAML 设置中所述)。

  • 如果在启用和配置 SAML 身份提供商之后配置或更新自定义网域,请保存自定义网域配置并确保已启用该配置。请等待大约 30 分钟,让缓存失效,然后使用服务提供商 (SP) 元数据文件中更新后的信息重新配置 SAML 身份提供商(如配置 SAML 设置中所述)。您应该会在 SP 元数据中看到自己的自定义网域。

  • 如果在配置并启用 SAML 身份提供商之前配置自定义网域,则需要重置自定义网域(如下所述),以确保 SAML 身份提供商配置正确。

  • 如果需要重置(停用再重新启用)SAML 身份提供商,如启用 SAML 身份提供商中所述,还必须重置自定义网域(如下所述)。

重置自定义网域

要重置(停用再启用)自定义网域,请执行以下操作:

  1. 在左侧导航栏中选择发布 > 门户,然后选择您的门户。
  2. 在顶部导航栏或着陆页的下拉菜单中选择设置
  3. 点击网域标签页。
  4. 点击停用以停用自定义网域。
  5. 点击启用以重新启用自定义网域。

如需了解详情,请参阅自定义您的网域

上传新证书

要上传新证书,请执行以下操作:

  1. 从 SAML 身份提供商下载证书。

    注意:证书必须采用 PEM 或 PKCSS 格式。如有必要,将 x509 证书转换为 PEM 格式

  2. 访问 SAML 身份提供商页面

  3. 点击要为其上传新证书的身份区域所在的行。

  4. 证书部分,点击

  5. 点击浏览并导航到本地目录中的证书。

  6. 点击打开以上传新证书。
    证书信息字段会更新以反映所选证书。

  7. 验证证书是否有效且未过期。

  8. 点击保存

将 x509 证书转换为 PEM 格式

如果下载了 x509 证书,则需要将其转换为 PEM 格式。

要将 x509 证书转换为 PEM 格式,请执行以下操作:

  1. 从 SAML 身份提供商元数据文件中复制 ds:X509Certificate element 的内容,然后将其粘贴到惯用的文本编辑器中。
  2. 在文件顶部添加以下行:
    -----BEGIN CERTIFICATE-----
  3. 在文件底部添加以下行:
    -----END CERTIFICATE-----
  4. 使用 .pem 扩展名保存文件。

下面提供了 PEM 文件内容的示例:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----