<ph type="x-smartling-placeholder"></ph>
您正在查看 Apigee Edge 文档。
转到
Apigee X 文档。 信息
SAML 允许特定管理员控制所有组织成员的身份验证方式 使用 Apigee Edge 时,通过委托给单点登录 (SSO) 服务器而创建。通过将 SAML 与 Edge 搭配使用,您可以支持单点登录 以及提供并支持 SAML。
如要使用 SAML 为集成门户启用单点登录,请参阅配置 SAML 身份提供方。
了解 Edge 中的身份可用区管理
“身份可用区”是一个身份验证领域,用于定义身份验证时使用的身份提供方 以及自定义配置用户注册和登录体验。 仅当用户通过身份提供方进行身份验证时,才能访问范围限定为身份可用区的实体。
Apigee Edge 支持下表中所述的身份验证类型。
身份验证类型 | 说明 |
默认 | 创建 Apigee Edge 账号,然后使用用户名和密码登录 Edge 界面。使用 Edge API,您可以通过 HTTP 基本身份验证使用这些凭据来授权调用。 |
SAML | 安全断言标记语言 (SAML) 是单点登录 (SSO) 环境的标准协议。借助使用 SAML 的单点登录身份验证,您可以使用现有凭据登录 Apigee Edge,而无需创建新账号。 |
为了支持 SAML 身份验证,您需要创建新的身份可用区并配置 SAML 身份提供方。 如启用 SAML 中所述。
SAML 身份验证的优势
SAML 身份验证可提供很多优势。您可以使用 SAML 执行以下操作:
- 全面掌控用户管理:将贵公司的 SAML 服务器连接到 Edge。当用户从贵组织离职时 并且集中取消配置,则会自动拒绝它们访问 Edge。
- 控制用户访问 Edge 的方式:为 Edge 组织选择不同的身份验证类型。
- 控制身份验证政策:您的 SAML 提供商可能支持比您的企业标准更严格的身份验证政策。
- 监控登录、退出、失败的登录尝试和高风险活动 进行全面测试
注意事项
在决定使用 SAML 之前,您应考虑以下要求:
- 现有用户:您必须将所有现有的组织用户添加到 SAML 中 身份提供方。
- 门户:如果您使用的是基于 Drupal 的开发者门户,该门户将使用 OAuth 访问 Edge,并且可能需要重新配置才能使用。
- 将停用基本身份验证:您需要用 OAuth 替换掉所有 您的脚本。
- OAuth 和 SAML 必须分开使用:如果您同时使用 OAuth 2.0 和 SAML, 必须为 OAuth 2.0 流程和 SAML 流程使用单独的终端会话。
SAML 如何与 Edge 搭配使用
SAML 规范定义了三个实体:
- 主账号(Edge UI 用户)
- 服务提供商 (Edge SSO)
- 身份提供方(返回 SAML 断言)
启用 SAML 后,主账号(Edge 界面用户)会请求对服务提供商的访问权限 (Edge SSO)。然后,边缘单点登录(充当 SAML 服务提供商)请求并获取 来自 SAML 身份提供方的身份断言,并使用该断言来创建 OAuth 2.0 访问 Edge 界面所需的令牌。然后,用户会被重定向到 Edge 界面。
此过程如下所示:
在此图中:
- 用户尝试通过向 Edge 的登录网域发出请求来访问 Edge 界面
SSO,包括区域名称。例如,
https://zonename.login.apigee.com
。 - 向
https://zonename.login.apigee.com
发送未经身份验证的请求 被重定向至客户的 SAML 身份提供方。例如https://idp.example.com
。 - 如果客户未登录身份提供方,系统会提示其登录 位置
- 用户通过 SAML 身份提供方的身份验证。SAML 身份提供方 生成 SAML 2.0 断言并将其返回给 Edge SSO。
- Edge SSO 验证断言,从断言中提取用户身份,
用于 Edge 界面的 OAuth 2.0 身份验证令牌,并将用户重定向到 Edge 主界面
网页位置:
https://zonename.apigee.com/platform/orgName
其中,orgName 是 Edge 组织的名称。
另请参阅通过 SAML 访问 Edge API。