نظرة عامة على SAML

يتم الآن عرض مستندات Apigee Edge.
يمكنك الاطّلاع على وثائق Apigee X.

يسمح SAML لمشرفي محدّدين بالتحكّم في كيفية مصادقة جميع أعضاء المؤسسة عند استخدام Apigee Edge من خلال تفويض خادم الدخول الموحّد (SSO). باستخدام SAML مع Edge، يمكنك توفير الدخول المُوحَّد (SSO) لواجهة مستخدم Edge وواجهة برمجة التطبيقات، بالإضافة إلى أي خدمات أخرى توفّرها والتي تتيح أيضًا SAML.

لتفعيل الدخول المُوحَّد (SSO) باستخدام SAML للبوابات المدمجة، يُرجى الاطِّلاع على ضبط موفِّر الهوية المستنِد إلى SAML.

فهم إدارة منطقة الهوية في Edge

منطقة الهوية هي نطاق مصادقة يحدِّد موفّري الهوية المستخدَمين للمصادقة والإعداد المخصّص لتجربة المستخدم وتسجيل الدخول. ولا يمكن للمستخدمين الوصول إلى الكيانات المُخصَّصة لمنطقة الهوية إلا عند المصادقة باستخدام موفِّر الهوية.

يتوافق Apigee Edge مع أنواع المصادقة الموضّحة في الجدول التالي.

نوع المصادقة الوصف
تلقائي أنشئ حساب Apigee Edge وسجِّل الدخول إلى واجهة مستخدم Edge باستخدام اسم مستخدم وكلمة مرور. باستخدام واجهة برمجة تطبيقات Edge، يمكنك استخدام بيانات الاعتماد نفسها مع مصادقة HTTP الأساسية للسماح بالاستدعاءات.
SAML لغة ترميز تأكيد الأمان (SAML) هي بروتوكول عادي لبيئات الدخول الموحّد (SSO). تسمح لك مصادقة الدخول الموحّد باستخدام SAML بتسجيل الدخول إلى Apigee Edge باستخدام بيانات الاعتماد الحالية، بدون الحاجة إلى إنشاء حسابات جديدة.

لتوفير مصادقة SAML، يمكنك إنشاء منطقة هوية جديدة وضبط موفِّر هوية SAML، كما هو موضَّح في تفعيل SAML.

مزايا مصادقة SAML

توفّر مصادقة SAML العديد من المزايا. باستخدام SAML، يمكنك إجراء ما يلي:

  • التحكّم الكامل في إدارة المستخدمين: اربط خادم SAML لشركتك بخدمة Edge. عند مغادرة المستخدمين لمؤسستك وإيقاف توفير المتطلبات لهم مركزيًا، يتم رفض وصولهم تلقائيًا إلى Edge.
  • التحكم في كيفية مصادقة المستخدمين للوصول إلى Edge: يمكنك اختيار أنواع مصادقة مختلفة لمؤسسات Edge.
  • التحكّم في سياسات المصادقة: قد يوفّر موفِّر SAML سياسات المصادقة الأكثر توافقًا مع معايير المؤسسة.
  • مراقبة عمليات تسجيل الدخول والخروج ومحاولات تسجيل الدخول غير الناجحة والأنشطة العالية الخطورة عند نشر Edge.

الاعتبارات

قبل أن تقرر استخدام SAML، يجب مراعاة المتطلبات التالية:

  • المستخدمون الحاليون: عليك إضافة جميع مستخدمي المؤسسة الحاليين إلى موفِّر هوية SAML.
  • البوابة: إذا كنت تستخدم بوابة مطوّري برامج مستندة إلى Drupal، ستستخدم البوابة بروتوكول OAuth للوصول إلى Edge، وقد تحتاج إلى إعادة ضبطها قبل استخدامها.
  • سيتم إيقاف المصادقة الأساسية: ستحتاج إلى استبدال المصادقة الأساسية ببروتوكول OAuth لكل النصوص البرمجية.
  • يجب الفصل بين OAuth وSAML: إذا كنت تستخدم كلاً من OAuth 2.0 وSAML، يجب استخدام جلسات منفصلة في الوحدة الطرفية لتدفق OAuth 2.0 وتدفق SAML.

كيفية عمل SAML مع Edge

تحدد مواصفات SAML ثلاثة كيانات:

  • مدير (مستخدم واجهة مستخدم Edge)
  • مقدِّم الخدمة (Edge SSO)
  • موفِّر الهوية (يعرض تأكيد SAML)

عند تفعيل SAML، يطلب المستخدم الرئيسي (مستخدم واجهة مستخدم Edge) الوصول إلى مقدِّم الخدمة (Edge SSO). يطلب بعدها الدخول المُوحَّد (SSO) على شبكة Edge (دوره بصفته مقدِّم خدمة SAML) ويحصل على تأكيد الهوية من موفِّر هوية SAML ويستخدم هذا التأكيد لإنشاء الرمز المميز OAuth 2.0 المطلوب للوصول إلى واجهة مستخدم Edge. بعد ذلك، تتم إعادة توجيه المستخدم إلى واجهة مستخدم Edge.

وتظهر هذه العملية في ما يلي:

في هذا المخطّط البياني:

  1. يحاول المستخدم الوصول إلى واجهة مستخدم Edge من خلال تقديم طلب إلى نطاق تسجيل الدخول للدخول الموحّد (SSO) على Edge، والذي يتضمّن اسم المنطقة. مثلاً، https://zonename.login.apigee.com
  2. تتم إعادة توجيه الطلبات التي لم تتم مصادقتها إلى https://zonename.login.apigee.com إلى موفِّر هوية SAML للعميل. مثلاً: https://idp.example.com
  3. إذا لم يسجّل العميل الدخول إلى موفّر الهوية، سيُطلب منه تسجيل الدخول.
  4. تتم مصادقة المستخدم من خلال موفِّر الهوية المستنِد إلى SAML. ينشئ موفِّر هوية SAML رسالة تأكيد SAML 2.0 ويعرضها على خدمة الدخول الموحّد (SSO) على Edge.
  5. تتحقّق خدمة الدخول المُوحَّد (SSO) من Edge من صحة التأكيد، وتعمل على استخراج هوية المستخدم من التأكيد، ثم إنشاء رمز مصادقة OAuth 2.0 لواجهة مستخدم Edge، وإعادة توجيه المستخدم إلى صفحة واجهة مستخدم Edge الرئيسية على:
    https://zonename.apigee.com/platform/orgName

    عندما يكون orgName هو اسم مؤسسة Edge.

راجع أيضًا الوصول إلى Edge API باستخدام SAML.

بدء العمل

التعرّف على كيفية تفعيل SAML