查看 Apigee Edge 說明文件。
前往
Apigee X說明文件。 資訊
SAML 允許特定管理員控管所有機構成員的驗證方式 必須委派給單一登入 (SSO) 伺服器才能使用 Apigee Edge使用 SAML 搭配 Edge 即可支援單一登入 (SSO) 服務 除了您提供的任何其他服務,也支援 Edge UI 和 API 。
如要使用 SAML 為整合式入口網站啟用單一登入 (SSO),請參閱設定 SAML 識別資訊提供者。
瞭解 Edge 中的身分可用區管理
「識別資訊區域」是一種驗證運作範圍,用於定義用於驗證的「識別資訊提供者」 以及自訂使用者的註冊和登入設定。 只有在使用者向識別資訊提供者進行驗證時,他們才能存取限定於識別資訊區域的實體。
Apigee Edge 支援下表所述的驗證類型。
| 驗證類型 | 說明 |
| 預設 | 建立 Apigee Edge 帳戶,並以使用者名稱和密碼登入 Edge UI。透過 Edge API,您可以使用相同的憑證搭配 HTTP 基本驗證來授權呼叫。 |
| SAML | 安全性宣告標記語言 (SAML) 是單一登入 (SSO) 環境的標準通訊協定。有了 SAML 的單一登入 (SSO) 驗證機制,您就能使用現有的憑證登入 Apigee Edge,不必建立新帳戶。 |
如要支援 SAML 驗證,請建立新的身分識別區域,並設定 SAML 識別資訊提供者。 ,如同啟用 SAML 中所述。
SAML 驗證的優點
SAML 驗證提供多項優點。使用 SAML 可以:
- 完全掌控使用者管理作業:將貴公司的 SAML 伺服器連結至 Edge。使用者從貴機構離職時 且會在集中取消佈建時,也會自動拒絕存取 Edge。
- 控管使用者通過 Edge 的驗證方式:請為您的 Edge 機構選取不同的驗證類型。
- 控管驗證政策:您的 SAML 供應商可能支援 更符合企業標準的驗證政策。
- 監控登入、登出、登入失敗和高風險活動 對邊緣部署項目而言
注意事項
決定使用 SAML 前,您應考量下列需求:
- 現有使用者:您必須將所有現有的機構使用者新增至 SAML 識別資訊提供者
- 入口網站:如果您使用的是 Drupal 開發人員入口網站,入口網站會使用 OAuth 來存取 Edge,而且可能需要重新設定才能使用。
- 基本驗證將會停用:您必須以 OAuth 取代基本驗證, 指令碼
- OAuth 和 SAML 必須分開保留:如果您同時使用 OAuth 2.0 和 SAML, 因此,您的 OAuth 2.0 流程和 SAML 流程必須分別使用不同的終端機工作階段。
SAML 如何與 Edge 搭配運作
SAML 規格定義了三個實體:
- 主體 (Edge UI 使用者)
- 服務供應商 (邊緣單一登入 (SSO))
- 識別資訊提供者 (傳回 SAML 宣告)
SAML 啟用後,主體 (Edge UI 使用者) 會要求存取服務供應商 (Edge SSO)。Edge SSO (做為 SAML 服務供應商) 會在要求後取得 並用該斷言建立 OAuth 2.0 存取 Edge UI 所需的權杖然後,系統會將使用者重新導向至 Edge UI。
這項程序如下所示:
下圖:
- 使用者嘗試向 Edge 的登入網域提出要求,嘗試存取 Edge UI
單一登入 (SSO),包括區域名稱。例如:
https://zonename.login.apigee.com - 向
https://zonename.login.apigee.com發出的未經驗證要求 已重新導向至客戶的 SAML 識別資訊提供者。例如:https://idp.example.com。 - 如果客戶未登入識別資訊提供者,系統會提示客戶登入 。
- 使用者已通過 SAML 識別資訊提供者驗證。SAML 識別資訊提供者 產生 SAML 2.0 斷言並傳回至邊緣單一登入 (SSO)。
- Edge SSO 驗證斷言、從斷言中擷取使用者身分,
Edge UI 的 OAuth 2.0 驗證權杖,並將使用者重新導向主要 UI
頁面:
https://zonename.apigee.com/platform/orgName
其中 orgName 是 Edge 機構的名稱。
另請參閱透過 SAML 存取 Edge API。