您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档。 信息
借助 SAML,特定管理员可以通过委托给单点登录 (SSO) 服务器,来控制所有组织成员在使用 Apigee Edge 时如何进行身份验证。通过将 SAML 与 Edge 搭配使用,除了您提供并支持 SAML 的任何其他服务外,您可以为 Edge 界面和 API 支持单点登录。
如需使用 SAML 为集成门户启用单点登录,请参阅配置 SAML 身份提供方。
了解 Edge 中的身份区域管理
身份区域是一个身份验证领域,定义了用于对用户注册和登录体验进行身份验证的身份提供方以及自定义配置。只有在用户通过身份提供方进行身份验证时,他们才能访问范围限定在该身份区域的实体。
Apigee Edge 支持下表中所述的身份验证类型。
身份验证类型 | 说明 |
默认 | 创建 Apigee Edge 帐号,然后使用用户名和密码登录 Edge 界面。借助 Edge API,您可以将这些凭据用于 HTTP 基本身份验证以授权调用。 |
SAML | 安全断言标记语言 (SAML) 是适用于单点登录 (SSO) 环境的标准协议。使用 SAML 进行单点登录身份验证后,您可以使用现有凭据登录 Apigee Edge,而无需创建新帐号。 |
如需支持 SAML 身份验证,请按照启用 SAML 中的说明,创建一个新的身份区域并配置 SAML 身份提供方。
SAML 身份验证的优势
SAML 身份验证可提供很多优势。您可以使用 SAML 执行以下操作:
- 完全掌控用户管理:将贵公司的 SAML 服务器连接到边缘。当用户离开您的组织并集中取消预配时,系统会自动拒绝他们访问 Edge。
- 控制用户访问 Edge 的身份验证方式:为 Edge 组织选择不同的身份验证类型。
- 控制身份验证政策:您的 SAML 提供商可能支持比您的企业标准更严格的身份验证政策。
- 在 Edge 部署中监控登录、退出、失败的登录尝试和高风险活动。
注意事项
在决定使用 SAML 之前,您应考虑以下要求:
- 现有用户:您必须将所有现有组织用户添加到 SAML 身份提供方。
- 门户:如果您使用的是基于 Drupal 的开发者门户,该门户会使用 OAuth 访问 Edge,并且可能需要重新配置,然后才能供您使用。
- 基本身份验证将被停用:您需要为所有脚本将基本身份验证替换为 OAuth。
- OAuth 和 SAML 必须分开使用:如果您同时使用 OAuth 2.0 和 SAML,则必须为 OAuth 2.0 流程和 SAML 流程使用单独的终端会话。
SAML 如何与 Edge 搭配使用
SAML 规范定义了三个实体:
- 主账号(Edge 界面用户)
- 服务提供商 (Edge SSO)
- 身份提供方(返回 SAML 断言)
启用 SAML 后,主帐号(Edge 界面用户)会请求对服务提供商的访问权限 (Edge SSO)。然后,边缘单点登录(作为 SAML 服务提供商的角色)会从 SAML 身份提供方请求并获取身份断言,并使用该断言创建访问 Edge 界面所需的 OAuth 2.0 令牌。然后,用户会被重定向到 Edge 界面。
此过程如下所示:
在此图中:
- 用户尝试通过向 Edge SSO 的登录网域(包括地区名称)来访问 Edge 界面。例如,
https://zonename.login.apigee.com
。 - 向
https://zonename.login.apigee.com
发送的未经身份验证的请求会被重定向到客户的 SAML 身份提供方。例如https://idp.example.com
。 - 如果客户未登录身份提供方,系统会提示客户登录。
- 用户通过 SAML 身份提供方的身份验证。SAML 身份提供方生成 SAML 2.0 断言,并将其返回给 Edge SSO。
- Edge SSO 会验证断言,从断言中提取用户身份,为 Edge 界面生成 OAuth 2.0 身份验证令牌,并将用户重定向到 Edge 界面主页面:
https://zonename.apigee.com/platform/orgName
其中,orgName 是 Edge 组织的名称。
另请参阅通过 SAML 访问 Edge API。