Stai visualizzando la documentazione di Apigee Edge.
Vai alla
documentazione di Apigee X. informazioni
SAML consente a amministratori specifici di controllare le modalità di autenticazione di tutti i membri dell'organizzazione durante l'utilizzo di Apigee Edge delega a un server Single Sign-On (SSO). Utilizzando SAML con Edge, puoi supportare il servizio SSO per l'API e la UI di Edge, oltre a qualsiasi altro servizio da te fornito e che supporti SAML.
Per attivare l'accesso SSO tramite SAML per i portali integrati, vedi Configurare il provider di identità SAML.
Informazioni sulla gestione delle zone di identità in Edge
Una zona delle identità è un'area di autenticazione di autenticazione che definisce i provider di identità utilizzati per l'autenticazione e la configurazione personalizzata dell'esperienza di registrazione e accesso degli utenti. Solo quando gli utenti si autenticano con il provider di identità possono accedere alle entità che rientrano nell'ambito della zona di identità.
Apigee Edge supporta i tipi di autenticazione descritti nella tabella seguente.
Tipo di autenticazione | Descrizione |
Predefinito | Crea un account Apigee Edge e accedi all'interfaccia utente Edge utilizzando un nome utente e una password. Con l'API Edge, puoi utilizzare le stesse credenziali con l'autenticazione di base HTTP per autorizzare le chiamate. |
SAML | SAML (Security Assuntion Markup Language) è un protocollo standard per ambienti Single Sign-On (SSO). L'autenticazione SSO tramite SAML ti consente di accedere ad Apigee Edge utilizzando le tue credenziali esistenti, senza dover creare nuovi account. |
Per supportare l'autenticazione SAML, crea una nuova zona di identità e configura un provider di identità SAML, come descritto in Abilitare SAML.
Vantaggi dell'autenticazione SAML
L'autenticazione SAML offre diversi vantaggi. Con SAML puoi:
- Assumi il controllo completo della gestione degli utenti: connetti il server SAML della tua azienda a Edge. Quando gli utenti lasciano l'organizzazione e ne viene eseguito il deprovisioning a livello centrale, gli viene automaticamente negato l'accesso a Edge.
- Controlla il modo in cui gli utenti eseguono l'autenticazione per accedere a Edge: seleziona diversi tipi di autenticazione per le tue organizzazioni Edge.
- Controlla i criteri di autenticazione: il tuo provider SAML potrebbe supportare criteri di autenticazione più in linea con i tuoi standard aziendali.
- Monitora gli accessi, le disconnessioni, i tentativi di accesso non riusciti e le attività ad alto rischio sul deployment Edge.
considerazioni
Prima di decidere di utilizzare SAML, è bene prendere in considerazione i seguenti requisiti:
- Utenti esistenti: devi aggiungere tutti gli utenti dell'organizzazione esistenti al provider di identità SAML.
- Portale: se utilizzi un portale per gli sviluppatori basato su Drupal, il portale utilizza OAuth per accedere a Edge e potrebbe essere necessario riconfigurare prima di poterlo utilizzare.
- L'autenticazione di base verrà disattivata: dovrai sostituire l'autenticazione di base con OAuth per tutti gli script.
- OAuth e SAML devono essere tenuti separati: se utilizzi sia OAuth 2.0 sia SAML, devi utilizzare sessioni di terminale separate per il flusso OAuth 2.0 e SAML.
Funzionamento di SAML con Edge
La specifica SAML definisce tre entità:
- Entità (utente Edge UI)
- Fornitore di servizi (SSO Edge)
- Provider di identità (restituisce l'asserzione SAML)
Quando SAML è abilitato, l'entità (un utente della UI Edge) richiede l'accesso al fornitore di servizi (SSO Edge). Il servizio SSO Edge (nel suo ruolo di fornitore di servizi SAML) richiede e ottiene un'asserzione dell'identità dal provider di identità SAML e la utilizza per creare il token OAuth 2.0 necessario per accedere all'interfaccia utente Edge. L'utente viene quindi reindirizzato all'interfaccia utente Edge.
Questa procedura è illustrata di seguito:
In questo diagramma:
- L'utente tenta di accedere all'UI perimetrale inviando una richiesta al dominio di accesso per l'accesso SSO
Edge, che include il nome della zona. Ad esempio:
https://zonename.login.apigee.com
- Le richieste non autenticate a
https://zonename.login.apigee.com
vengono reindirizzate al provider di identità SAML del cliente. Ad esempio,https://idp.example.com
. - Se il cliente non ha eseguito l'accesso al provider di identità, gli verrà richiesto di eseguire l'accesso.
- L'utente è autenticato dal provider di identità SAML. Il provider di identità SAML genera e restituisce un'asserzione SAML 2.0 all'SSO Edge.
- L'SSO Edge convalida l'asserzione, estrae l'identità dell'utente dall'asserzione, genera il token di autenticazione OAuth 2.0 per la UI Edge e reindirizza l'utente alla pagina principale della UI Edge all'indirizzo:
https://zonename.apigee.com/platform/orgName
Dove orgName è il nome di un'organizzazione Edge.
Vedi anche Accedere all'API Edge con SAML.