Configurar o Fornecedor de identidade

Esta página aplica-se ao Apigee e ao Apigee Hybrid.

Veja a documentação do Apigee Edge.

Para portais integrados, pode definir fornecedores de identidade para suportar os tipos de autenticação definidos na tabela seguinte.

Tipo de autenticação Descrição
Integrado

Exige que os utilizadores transmitam as respetivas credenciais (nome de utilizador e palavra-passe) ao portal integrado para autenticação. Quando cria um novo portal, o fornecedor de identidade incorporado é configurado e ativado.

Para compreender a experiência de início de sessão na perspetiva do utilizador, consulte o artigo Iniciar sessão no portal com credenciais de utilizador (fornecedor incorporado).
SAML (pré-visualização)

A linguagem de marcação de declaração de segurança (SAML) é um protocolo padrão para o ambiente de Início de sessão único (SSO). A autenticação SSO através de SAML permite que os utilizadores iniciem sessão nos seus portais integrados do Apigee sem terem de criar novas contas. Os utilizadores iniciam sessão através das respetivas credenciais de conta geridas centralmente.

Para compreender a experiência de início de sessão na perspetiva do utilizador, consulte o artigo Iniciar sessão no portal através da autenticação SAML (pré-visualização).

Vantagens da autenticação SAML para portais integrados

Configurar o SAML como um fornecedor de identidade para um portal integrado oferece as seguintes vantagens:

  • Configure o seu programa para programadores uma vez e reutilize-o em vários portais integrados. Escolha o seu programa para programadores quando criar o portal integrado. Atualize ou altere facilmente o programa para programadores à medida que os requisitos evoluem.
  • Assuma o controlo total da gestão de utilizadores Associe o servidor SAML da sua empresa ao portal integrado. Quando os utilizadores saem da sua organização e o respetivo acesso é anulado de forma centralizada, deixam de poder autenticar-se com o seu serviço de SSO para usar o portal integrado.

Configurar o Fornecedor de identidade integrado

Configure o fornecedor de identidade integrado, conforme descrito nas secções seguintes.

Aceder à página do Fornecedor de identidade integrado

Para aceder ao Fornecedor de identidade integrado:

  1. Abra a página Portais.

    IU da Cloud Console

    Na consola do Apigee in Cloud, aceda à página Distribuição > Portais.

    Aceda a Portais

    IU clássica

    Selecione Publicar > Portais na barra de navegação lateral para apresentar a lista de portais.

  2. Clique na linha do portal para o qual quer ver o fornecedor de identidade.

  3. Clique em Contas.

  4. Clique no separador Autenticação.

  5. Na secção Fornecedores de identidade, clique no tipo de fornecedor Incorporado.

  6. Configure o Fornecedor de identidade integrado, conforme descrito nas secções seguintes:

Ativar o Fornecedor de identidade integrado

Para ativar o Fornecedor de identidade integrado:

  1. Aceda à página Fornecedor de identidade integrado.

  2. Abra o editor.

    IU da Cloud Console

    Clique em Editar.

    IU clássica

    Clique em na secção Configuração do fornecedor.

  3. Selecione a caixa de verificação Ativado para ativar o fornecedor de identidade. Para desativar o fornecedor de identidade integrado, desmarque a caixa de verificação.

  4. Clique em Guardar.

Restringir o registo no portal por endereço de email ou domínio

Restrinja o registo no portal identificando os endereços de email individuais (developer@some-company.com) ou os domínios de email (some-company.com, sem o @ inicial) que podem criar contas no seu portal.

Para corresponder a todos os subdomínios aninhados, adicione a string de caráter universal *. a um domínio ou subdomínio. Por exemplo, *.example.com vai corresponder a test@example.com, test@dev.example.com e assim sucessivamente.

Se o campo for deixado em branco, pode usar-se qualquer endereço de email para se registar no portal.

Para restringir o registo no portal por endereço de email ou domínio:

  1. Aceda à página Fornecedor de identidade integrado.

  2. Adicione um ou mais endereços de email.

    IU da Cloud Console

    1. Clique em Editar.
    2. Clique em + Adicionar email.
    3. Introduza um endereço de email ou um domínio de email que quer permitir que se registe e inicie sessão no portal.
    4. Adicione entradas adicionais, conforme necessário.
    5. Para eliminar uma entrada, clique em Eliminar junto à entrada.

    IU clássica

    1. Clique em na secção Configuração do fornecedor.
    2. Na secção Restrições da conta, introduza um endereço de email ou um domínio de email que quer permitir que se registe e inicie sessão no portal na caixa de texto e clique em +.
    3. Adicione entradas adicionais, conforme necessário.
    4. Para eliminar uma entrada, clique em x junto à entrada.

  3. Clique em Guardar.

Configurar notificações por email

Para o fornecedor integrado, pode ativar e configurar as seguintes notificações por email:

Notificação por email Destinatário Acionador Descrição
Notificações da contaFornecedor de APIsO utilizador do portal cria uma nova contaSe configurou o seu portal para exigir a ativação manual das contas de utilizador, tem de ativar manualmente a conta de utilizador antes de o utilizador do portal poder iniciar sessão.
Validação da contaUtilizador do portalO utilizador do portal cria uma nova contaFornece um link seguro para validar a criação da conta. O link expira em 10 minutos.

Ao configurar as notificações por email:

  • Use etiquetas HTML para formatar o texto. Certifique-se de que envia um email de teste para validar se a formatação é apresentada como esperado.

  • Pode inserir uma ou mais das seguintes variáveis, que são substituídas quando a notificação por email é enviada.

    Variável Descrição
    {{firstName}} Nome próprio
    {{lastName}} Apelido
    {{email}} Endereço de email
    {{siteurl}} Link para o portal publicado
    {{verifylink}} Link usado para a validação da conta

Para configurar notificações por email:

  1. Aceda à página Fornecedor de identidade integrado.

  2. Configure as notificações por email.

    IU da Cloud Console

    Clique em Editar.

    IU clássica

    Para configurar notificações por email enviadas para:

    • Fornecedores de API para ativação de novas contas de utilizador, clique em na secção Notificação da conta.
    • Para que os utilizadores do portal validem a respetiva identidade, clique em na secção Validação de conta.

  3. Edite os campos Assunto e Corpo.

  4. Clique em Guardar.

Configurar o Fornecedor de identidade SAML (pré-visualização)

Configure o fornecedor de identidade SAML, conforme descrito nas secções seguintes.

Aceder à página do fornecedor de identidade SAML

Para aceder ao fornecedor de identidade SAML:

  1. Abra a página Portais.

    IU da Cloud Console

    Na consola do Apigee in Cloud, aceda à página Distribuição > Portais.

    Aceda a Portais

    IU clássica

    Selecione Publicar > Portais na barra de navegação lateral para apresentar a lista de portais.

  2. Clique na linha do portal para o qual quer ver o fornecedor de identidade.

  3. Clique em Contas.

  4. Clique no separador Autenticação.

  5. Na secção Fornecedores de identidade, clique no tipo de fornecedor SAML.

  6. Configure o Fornecedor de identidade SAML, conforme descrito nas secções seguintes:

Ativar o Fornecedor de identidade SAML

Para ativar o fornecedor de identidade SAML:

  1. Aceda à página do fornecedor de identidade SAML.

  2. Abra o editor.

    IU da Cloud Console

    Clique em Editar.

    IU clássica

    Clique em na secção Configuração do fornecedor.

  3. Selecione a caixa de verificação Ativado para ativar o fornecedor de identidade.

    Para desativar o fornecedor de identidade SAML, desmarque a caixa de verificação.

  4. Clique em Guardar.

  5. Se configurou um domínio personalizado, consulte o artigo Usar um domínio personalizado com o fornecedor de identidade SAML.

Configurar definições de SAML

Para configurar as definições de SAML:

  1. Aceda à página do fornecedor de identidade SAML.

  2. Abra o editor.

    IU da Cloud Console

    Clique em Editar.

    IU clássica

    Clique em na secção Configuração SAML.

  3. Clique em Copiar junto ao URL dos metadados do SP.

  4. Configure o seu fornecedor de identidade SAML através das informações no ficheiro de metadados do fornecedor de serviços (SP).

    Para alguns fornecedores de identidade SAML, só lhe é pedido o URL dos metadados. Para outros, tem de extrair informações específicas do ficheiro de metadados e introduzi-las num formulário.

    Neste último caso, cole o URL num navegador para transferir o ficheiro de metadados do SP e extrair as informações necessárias. Por exemplo, o ID da entidade ou o URL de início de sessão podem ser extraídos dos seguintes elementos no ficheiro de metadados do SP:

    • <md:EntityDescriptor xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata" ID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" entityID="diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login">
    • <md:AssertionConsumerService Binding="urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST" Location="https://diyyaumzqchrbui-a5vnmu1sp8qzekbd.portal-login.apigee.com/saml/SSO/alias/diyyaumzqchrbui-a5vnmu1sp8qzekbd.apigee-saml-login" index="0" isDefault="true"/>

  5. Configure as definições SAML para o Fornecedor de identidade.

    Na secção Definições de SAML, edite os seguintes valores obtidos a partir do ficheiro de metadados do fornecedor de identidade SAML:

    Definição de SAMLDescrição
    URL de início de sessãoURL para o qual os utilizadores são redirecionados para iniciar sessão no fornecedor de identidade SAML.
    Por exemplo: https://dev-431871.oktapreview.com/app/googledev431871_devportalsaml_1/exkhgdyponHIp97po0h7/sso/saml
    URL de fim de sessãoURL para o qual os utilizadores são redirecionados para terminarem sessão no fornecedor de identidade SAML.

    Deixe este campo em branco se:

    • O seu fornecedor de identidade SAML não fornece um URL de saída
    • Não quer que os utilizadores terminem sessão no seu fornecedor de identidade SAML quando terminam sessão no portal integrado
    • Quer ativar um domínio personalizado (consulte o problema conhecido)
    ID de entidade do IDPID exclusivo do fornecedor de identidade SAML.
    Por exemplo: http://www.okta.com/exkhgdyponHIp97po0h7

  6. Clique em Guardar.

Configurar atributos de utilizador personalizados para o fornecedor de identidade SAML

Para garantir o mapeamento adequado entre o fornecedor de identidade SAML e as contas de utilizador do portal, recomendamos que crie e configure os atributos de utilizador personalizados definidos na tabela seguinte para o seu fornecedor de identidade SAML. Defina o valor de cada atributo personalizado para o atributo do utilizador correspondente definido pelo seu fornecedor de identidade SAML (por exemplo, Okta).

Atributo personalizado Exemplo (Okta)
first_name user.firstName
last_name user.lastName
email user.email

O exemplo seguinte mostra como configurar atributos do utilizador personalizados e o atributo NameID usando o Okta como fornecedor de identidade SAML de terceiros.

Usar um domínio personalizado com o fornecedor de identidade SAML

Depois de configurar e ativar o fornecedor de identidade SAML, pode configurar um domínio personalizado (como developers.example.com), conforme descrito no artigo Personalize o seu domínio.

É importante manter as definições de configuração sincronizadas entre o domínio personalizado e o fornecedor de identidade SAML. Se as definições de configuração ficarem dessincronizadas, pode ter problemas durante a autorização. Por exemplo, o pedido de autorização enviado para o fornecedor de identidade SAML pode ter um AssertionConsumerServiceURL que não está definido através do domínio personalizado.

Para manter as definições de configuração sincronizadas entre o domínio personalizado e o fornecedor de identidade SAML:

  • Se configurar ou atualizar o domínio personalizado depois de ativar e configurar o fornecedor de identidade SAML, guarde a configuração do domínio personalizado e certifique-se de que está ativada. Aguarde cerca de 30 minutos para que a cache seja invalidada e, em seguida, reconfigure o seu fornecedor de identidade SAML com as informações atualizadas no ficheiro de metadados do fornecedor de serviços (SP), conforme descrito em Configure as definições SAML. Deve ver o seu domínio personalizado nos metadados do SP.

  • Se configurar um domínio personalizado antes de configurar e ativar o fornecedor de identidade SAML, tem de repôr o domínio personalizado (descrito abaixo) para garantir que o fornecedor de identidade SAML está configurado corretamente.

  • Se precisar de repor (desativar e reativar) o fornecedor de identidade SAML, conforme descrito no artigo Ative o fornecedor de identidade SAML, também tem de repor o domínio personalizado (descrito abaixo).

Repor o domínio personalizado

Para repor (desativar e ativar) o domínio personalizado:

  1. Abra a página Portais.

    IU da Cloud Console

    Na consola do Apigee in Cloud, aceda à página Distribuição > Portais.

    Aceda a Portais

    IU clássica

    Selecione Publicar > Portais na barra de navegação lateral para apresentar a lista de portais.

  2. Clique no portal.

  3. Clique em Definições.

  4. Clique no separador Domínios.

  5. Clique em Desativar para desativar o domínio personalizado.

  6. Clique em Ativar para ativar o domínio personalizado.

Para mais informações, consulte o artigo Personalizar o seu domínio.

Carregar um novo certificado

Para carregar um novo certificado:

  1. Transfira o certificado do seu fornecedor de identidade SAML.

  2. Aceda à página do fornecedor de identidade SAML.

  3. Abra o editor.

    IU da Cloud Console

    Clique em Editar.

    IU clássica

    Clique em na secção Certificado.

  4. Clique em Procurar e navegue até ao certificado no seu diretório local.

  5. Clique em Abrir para carregar o novo certificado. Os campos de informações do certificado são atualizados para refletir o certificado selecionado.

  6. Verifique se o certificado é válido e não expirou.

  7. Clique em Guardar.

Converter um certificado x509 para o formato PEM

Se transferir um certificado x509, tem de o converter para o formato PEM.

Para converter um certificado x509 para o formato PEM:

  1. Copie o conteúdo do elemento ds:X509Certificate element do ficheiro de metadados do fornecedor de identidade SAML e cole-o no seu editor de texto favorito.
  2. Adicione a seguinte linha na parte superior do ficheiro: -----BEGIN CERTIFICATE-----
  3. Adicione a seguinte linha na parte inferior do ficheiro: -----END CERTIFICATE-----
  4. Guarde o ficheiro com uma extensão .pem.

Segue-se um exemplo do conteúdo do ficheiro PEM:

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----