Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione
Documentazione di Apigee X. Informazioni
SAML consente ad amministratori specifici di controllare il modo in cui tutti i membri dell'organizzazione eseguono l'autenticazione quando utilizzi Apigee Edge delega a un server Single Sign-On (SSO). Se usi SAML con Edge, puoi supportare l'accesso SSO per l'API e l'interfaccia utente Edge, oltre a qualsiasi altro servizio fornito dall'utente e che supporta SAML.
Per attivare l'accesso SSO tramite SAML per i portali integrati, vedi Configurare il provider di identità SAML.
Informazioni sulla gestione delle zone di identità in Edge
Una zona di identità è un'area di autenticazione di autenticazione che definisce i provider di identità utilizzati per l'autenticazione. e configurazione personalizzata della registrazione e dell'esperienza di accesso degli utenti. Solo quando gli utenti eseguono l'autenticazione con il provider di identità, possono accedere alle entità che hanno come ambito la zona di identità.
Apigee Edge supporta i tipi di autenticazione descritti nella tabella seguente.
Tipo di autenticazione | Descrizione |
Predefinito | Crea un account Apigee Edge e accedi alla UI Edge utilizzando un nome utente e una password. Con l'API Edge, puoi utilizzare le stesse credenziali con l'autenticazione di base HTTP per autorizzare le chiamate. |
SAML | SAML (Security Assertion Markup Language) è un protocollo standard per ambienti Single Sign-On (SSO). L'autenticazione SSO tramite SAML ti consente di accedere ad Apigee Edge usando le tue credenziali esistenti, senza dover creare nuovi account. |
Per supportare l'autenticazione SAML, dovrai creare una nuova zona di identità e configurare un provider di identità SAML. come descritto in Abilitare SAML.
Vantaggi dell'autenticazione SAML
L'autenticazione SAML offre diversi vantaggi. Con SAML puoi:
- Assumi il controllo completo della gestione degli utenti: connetti il server SAML della tua azienda a Edge. Quando gli utenti lasciano l'organizzazione di cui viene eseguito il deprovisioning a livello centrale, a questi ultimi viene automaticamente negato l'accesso a Edge.
- Controlla la modalità di autenticazione degli utenti per accedere a Edge:seleziona diversi tipi di autenticazione per le organizzazioni perimetrali.
- Controlla i criteri di autenticazione: il tuo provider SAML potrebbe supportare. di autenticazione più in linea con gli standard della tua azienda.
- Monitorare gli accessi, le disconnessioni, i tentativi di accesso non riusciti e le attività ad alto rischio del deployment Edge.
Considerazioni
Prima di decidere di utilizzare SAML, considera i seguenti requisiti:
- Utenti esistenti: devi aggiungere tutti gli utenti dell'organizzazione esistenti a SAML o il provider di identità.
- Portale:se utilizzi un portale per sviluppatori basato su Drupal, il portale utilizza OAuth per accedere a Edge e potrebbe essere necessario riconfigurarlo prima di poterlo utilizzare.
- L'autenticazione di base verrà disattivata. Dovrai sostituire l'autenticazione di base con OAuth per tutti i tuoi script.
- OAuth e SAML devono essere mantenuti separati:se utilizzi sia OAuth 2.0 sia SAML, Devi utilizzare sessioni del terminale separate per il flusso OAuth 2.0 e il flusso SAML.
Come funziona SAML con Edge
La specifica SAML definisce tre entità:
- Entità (utente UI Edge)
- Fornitore di servizi (SSO Edge)
- Provider di identità (restituisce l'asserzione SAML)
Quando SAML è abilitato, l'entità (un utente dell'interfaccia utente perimetrale) richiede l'accesso al fornitore di servizi (SSO Edge). L'accesso SSO perimetrale (nel suo ruolo di fornitore di servizi SAML) richiede quindi e ottiene asserzione di identità dal provider di identità SAML e la utilizza per creare OAuth 2.0 per accedere alla UI Edge. L'utente viene quindi reindirizzato alla UI Edge.
Questa procedura è illustrata di seguito:
In questo diagramma:
- L'utente tenta di accedere alla UI Edge inviando una richiesta al dominio di accesso per Edge
SSO, che include il nome della zona. Ad esempio:
https://zonename.login.apigee.com
- Richieste non autenticate a
https://zonename.login.apigee.com
vengono reindirizzati al provider di identità SAML del cliente. Ad esempio:https://idp.example.com
. - Se il cliente non ha eseguito l'accesso al provider di identità, gli viene chiesto di farlo in.
- L'utente viene autenticato dal provider di identità SAML. Il provider di identità SAML genera e restituisce un'asserzione SAML 2.0 all'accesso SSO perimetrale.
- L'accesso SSO perimetrale convalida l'asserzione, estrae l'identità dell'utente dall'asserzione, genera
il token di autenticazione OAuth 2.0 per la UI Edge e reindirizza l'utente alla UI Edge principale
pagina all'indirizzo:
https://zonename.apigee.com/platform/orgName
Dove orgName è il nome di un'organizzazione Edge.
Vedi anche Accedere all'API Edge con SAML.