SAML 概览

<ph type="x-smartling-placeholder"></ph> 您正在查看 Apigee Edge 文档。
转到 Apigee X 文档
信息

SAML 允许特定管理员控制所有组织成员的身份验证方式 使用 Apigee Edge 时,通过委托给单点登录 (SSO) 服务器而创建。通过将 SAML 与 Edge 搭配使用,您可以支持单点登录 以及提供并支持 SAML。

如要使用 SAML 为集成门户启用单点登录,请参阅配置 SAML 身份提供方

了解 Edge 中的身份可用区管理

“身份可用区”是一个身份验证领域,用于定义身份验证时使用的身份提供方 以及自定义配置用户注册和登录体验。 仅当用户通过身份提供方进行身份验证时,才能访问范围限定为身份可用区的实体。

Apigee Edge 支持下表中所述的身份验证类型。

身份验证类型 说明
默认 创建 Apigee Edge 账号,然后使用用户名和密码登录 Edge 界面。使用 Edge API,您可以通过 HTTP 基本身份验证使用这些凭据来授权调用。
SAML 安全断言标记语言 (SAML) 是单点登录 (SSO) 环境的标准协议。借助使用 SAML 的单点登录身份验证,您可以使用现有凭据登录 Apigee Edge,而无需创建新账号。

为了支持 SAML 身份验证,您需要创建新的身份可用区并配置 SAML 身份提供方。 如启用 SAML 中所述。

SAML 身份验证的优势

SAML 身份验证可提供很多优势。您可以使用 SAML 执行以下操作:

  • 全面掌控用户管理:将贵公司的 SAML 服务器连接到 Edge。当用户从贵组织离职时 并且集中取消配置,则会自动拒绝它们访问 Edge。
  • 控制用户访问 Edge 的方式:为 Edge 组织选择不同的身份验证类型。
  • 控制身份验证政策:您的 SAML 提供商可能支持比您的企业标准更严格的身份验证政策。
  • 监控登录、退出、失败的登录尝试和高风险活动 进行全面测试

注意事项

在决定使用 SAML 之前,您应考虑以下要求:

  • 现有用户:您必须将所有现有的组织用户添加到 SAML 中 身份提供方。
  • 门户:如果您使用的是基于 Drupal 的开发者门户,该门户将使用 OAuth 访问 Edge,并且可能需要重新配置才能使用。
  • 将停用基本身份验证:您需要用 OAuth 替换掉所有 您的脚本。
  • OAuth 和 SAML 必须分开使用:如果您同时使用 OAuth 2.0 和 SAML, 必须为 OAuth 2.0 流程和 SAML 流程使用单独的终端会话。

SAML 如何与 Edge 搭配使用

SAML 规范定义了三个实体:

  • 主账号(Edge UI 用户)
  • 服务提供商 (Edge SSO)
  • 身份提供方(返回 SAML 断言)

启用 SAML 后,主账号(Edge 界面用户)会请求对服务提供商的访问权限 (Edge SSO)。然后,边缘单点登录(充当 SAML 服务提供商)请求并获取 来自 SAML 身份提供方的身份断言,并使用该断言来创建 OAuth 2.0 访问 Edge 界面所需的令牌。然后,用户会被重定向到 Edge 界面。

此过程如下所示:

在此图中:

  1. 用户尝试通过向 Edge 的登录网域发出请求来访问 Edge 界面 SSO,包括区域名称。例如,https://zonename.login.apigee.com
  2. https://zonename.login.apigee.com 发送未经身份验证的请求 被重定向至客户的 SAML 身份提供方。例如 https://idp.example.com
  3. 如果客户未登录身份提供方,系统会提示其登录 位置
  4. 用户通过 SAML 身份提供方的身份验证。SAML 身份提供方 生成 SAML 2.0 断言并将其返回给 Edge SSO。
  5. Edge SSO 验证断言,从断言中提取用户身份, 用于 Edge 界面的 OAuth 2.0 身份验证令牌,并将用户重定向到 Edge 主界面 网页位置:
    https://zonename.apigee.com/platform/orgName

    其中,orgName 是 Edge 组织的名称。

另请参阅通过 SAML 访问 Edge API

开始使用!

了解如何启用 SAML