Você está vendo a documentação do Apigee Edge.
Acesse a
documentação da Apigee X. informações
O SAML permite que administradores específicos controlem como todos os membros da organização são autenticados ao usar o Apigee Edge delegando a um servidor de Logon único (SSO). Ao usar o SAML com o Edge, você oferece suporte ao SSO para a IU e a API do Edge, além de todos os outros serviços que você fornece e que também são compatíveis com o SAML.
Para ativar o SSO usando SAML para portais integrados, consulte Configurar o provedor de identidade SAML.
Entender o gerenciamento de zonas de identidade no Edge
Uma zona de identidade é um realm de autenticação que define os provedores de identidade usados para autenticação e configuração personalizada da experiência de registro e login do usuário. Os usuários só podem acessar as entidades no escopo da zona de identidade quando são autenticados com o provedor de identidade.
O Apigee Edge oferece suporte aos tipos de autenticação descritos na tabela a seguir.
Tipo de autenticação | Descrição |
Padrão | Crie uma conta do Apigee Edge e faça login na IU do Edge usando um nome de usuário e senha. Com a API Edge, você usa essas mesmas credenciais com a autenticação HTTP básica para autorizar chamadas. |
SAML | A Linguagem de marcação de declaração de segurança (SAML) é um protocolo padrão para ambientes de Logon único (SSO). Com a autenticação SSO usando SAML, você pode fazer login no Apigee Edge com suas credenciais, sem precisar criar novas contas. |
Para oferecer suporte à autenticação SAML, crie uma nova zona de identidade e configure um provedor de identidade SAML, conforme descrito em Ativar SAML.
Vantagens da autenticação SAML
A autenticação SAML oferece várias vantagens. Ao usar a SAML, você pode:
- Controle total do gerenciamento de usuários: conecte o servidor SAML da sua empresa ao Edge. Quando os usuários saem da organização e são desprovisionados centralmente, o acesso ao Edge é automaticamente negado.
- Controlar como os usuários se autenticam para acessar o Edge:selecione tipos de autenticação diferentes para suas organizações do Edge.
- Controlar as políticas de autenticação: seu provedor SAML pode permitir políticas de autenticação que estejam mais alinhadas aos padrões da sua empresa.
- Monitore logins, logouts, tentativas de login malsucedidas e atividades de alto risco na implantação do Edge.
considerações
Antes de decidir usar o SAML, considere os seguintes requisitos:
- Usuários atuais:adicione todos os usuários da organização ao provedor de identidade SAML.
- Portal:se você estiver usando um portal de desenvolvedor baseado em Drupal, ele vai usar o OAuth para acessar o Edge e talvez precise ser reconfigurado antes de usar.
- A autenticação básica será desativada: será necessário substituir a autenticação básica pelo OAuth em todos os scripts.
- O OAuth e o SAML precisam ser mantidos separados:se você usa o OAuth 2.0 e o SAML, é necessário usar sessões de terminal separadas para o fluxo do OAuth 2.0 e o fluxo SAML.
Como o SAML funciona com o Edge
A especificação SAML define três entidades:
- Principal (usuário da interface do Edge)
- Provedor de serviços (SSO do Edge)
- Provedor de identidade (retorna a declaração SAML)
Quando o SAML está ativado, o principal (um usuário da interface do Edge) solicita acesso ao provedor de serviços (SSO do Edge). Em seguida, o SSO de borda (no papel de provedor de serviços SAML), solicita e recebe uma declaração de identidade do provedor de identidade SAML e a usa para criar o token do OAuth 2.0 necessário para acessar a IU do Edge. O usuário é redirecionado para a IU do Edge.
Esse processo é mostrado abaixo:
Neste diagrama:
- O usuário tenta acessar a interface do Edge fazendo uma solicitação ao domínio de login do SSO do Edge, que inclui o nome da zona. Por exemplo,
https://zonename.login.apigee.com
- As solicitações não autenticadas para
https://zonename.login.apigee.com
são redirecionadas para o provedor de identidade SAML do cliente. Por exemplo,https://idp.example.com
. - Se o cliente não estiver conectado ao provedor de identidade, ele receberá uma solicitação para fazer login.
- O usuário é autenticado pelo provedor de identidade SAML. O provedor de identidade SAML gera e retorna uma declaração SAML 2.0 para o SSO de borda.
- O SSO de borda valida a declaração, extrai a identidade do usuário da declaração, gera
o token de autenticação OAuth 2.0 para a interface do Edge e redireciona o usuário para a página principal dessa
interface em:
https://zonename.apigee.com/platform/orgName
Em que orgName é o nome de uma organização de Edge.
Consulte também Acessar a API Edge com SAML.