Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation weitere Informationen
Mit SAML können bestimmte Administratoren steuern, wie sich alle Organisationsmitglieder bei der Verwendung von Apigee Edge authentifizieren, indem sie an einen Einmalanmeldungsserver (SSO-Server) delegieren. Wenn Sie SAML mit Edge verwenden, können Sie die SSO für die Edge-Benutzeroberfläche und -API zusätzlich zu allen anderen Diensten unterstützen, die Sie bereitstellen und die auch SAML unterstützen.
Informationen zum Aktivieren der Einmalanmeldung (SSO) mit SAML für integrierte Portale finden Sie unter SAML-Identitätsanbieter konfigurieren.
Informationen zur Identitätszonenverwaltung in Edge
Eine Identitätszone ist ein Authentifizierungsbereich, der die Identitätsanbieter definiert, die für die Authentifizierung und die benutzerdefinierte Konfiguration der Nutzerregistrierung und -anmeldung verwendet werden. Nur wenn Nutzer sich beim Identitätsanbieter authentifizieren, können sie auf Entitäten zugreifen, die der Identitätszone zugeordnet sind.
Apigee Edge unterstützt die in der folgenden Tabelle beschriebenen Authentifizierungstypen.
| Authentifizierungstyp | Beschreibung |
| Standard | Erstellen Sie ein Apigee Edge-Konto und melden Sie sich mit einem Nutzernamen und einem Passwort in der Edge-Benutzeroberfläche an. Mit der Edge API verwenden Sie dieselben Anmeldedaten für die HTTP-Basisauthentifizierung, um Aufrufe zu autorisieren. |
| SAML | Security assertion Markup Language (SAML) ist ein Standardprotokoll für SSO-Umgebungen. Mit der SSO-Authentifizierung mit SAML können Sie sich mit Ihren vorhandenen Anmeldedaten in Apigee Edge anmelden, ohne neue Konten erstellen zu müssen. |
Zur Unterstützung der SAML-Authentifizierung erstellen Sie eine neue Identitätszone und konfigurieren einen SAML-Identitätsanbieter, wie unter SAML aktivieren beschrieben.
Vorteile der SAML-Authentifizierung
Die SAML-Authentifizierung bietet mehrere Vorteile. Mit SAML können Sie Folgendes tun:
- Vollständige Kontrolle über die Nutzerverwaltung:Verbinden Sie den SAML-Server Ihres Unternehmens mit Edge. Wenn Nutzer Ihre Organisation verlassen und die Bereitstellung zentral aufgehoben wird, wird ihnen der Zugriff auf Edge automatisch verweigert.
- Steuern, wie Nutzer sich für den Zugriff auf Edge authentifizieren:Wählen Sie verschiedene Authentifizierungstypen für Ihre Edge-Organisationen aus.
- Festlegung der Authentifizierungsrichtlinien: Ihr SAML-Anbieter unterstützt möglicherweise Authentifizierungsrichtlinien, die den Unternehmensstandards entsprechen.
- Überwachen Sie Anmeldungen, Logouts, fehlgeschlagene Anmeldeversuche und risikoreiche Aktivitäten in Ihrem Edge-Deployment.
Wissenswertes
Bevor Sie sich für die Verwendung von SAML entscheiden, sollten Sie die folgenden Anforderungen berücksichtigen:
- Vorhandene Nutzer:Sie müssen dem SAML-Identitätsanbieter alle vorhandenen Organisationsnutzer hinzufügen.
- Portal: Wenn Sie ein Drupal-basiertes Entwicklerportal verwenden, verwendet das Portal OAuth für den Zugriff auf Edge und muss möglicherweise neu konfiguriert werden, bevor Sie es verwenden können.
- Basic Auth wird deaktiviert: Sie müssen sie für alle Ihre Skripts durch OAuth ersetzen.
- OAuth und SAML müssen getrennt werden:Wenn Sie sowohl OAuth 2.0 als auch SAML verwenden, müssen Sie separate Terminalsitzungen für den OAuth 2.0- und den SAML-Ablauf verwenden.
Funktionsweise von SAML mit Edge
In der SAML-Spezifikation werden drei Entitäten definiert:
- Hauptkonto (Edge-UI-Nutzer)
- Dienstanbieter (Edge-SSO)
- Identitätsanbieter (gibt SAML-Assertion zurück)
Wenn SAML aktiviert ist, fordert das Hauptkonto (ein Edge-UI-Nutzer) Zugriff beim Dienstanbieter an (Edge SSO). Edge SSO (in seiner Rolle als SAML-Dienstanbieter) fordert dann eine Identitätsbestätigung vom SAML-Identitätsanbieter an und ruft diese ab. Anschließend verwendet diese Assertion, um das OAuth 2.0-Token zu erstellen, das für den Zugriff auf die Edge-Benutzeroberfläche erforderlich ist. Der Nutzer wird dann zur Edge-Benutzeroberfläche weitergeleitet.
So funktioniert's:
In diesem Diagramm:
- Der Nutzer versucht, auf die Edge-Benutzeroberfläche zuzugreifen, indem er eine Anfrage an die Anmeldedomain für die Edge-SSO sendet, die den Zonennamen enthält. Beispiel:
https://zonename.login.apigee.com - Nicht authentifizierte Anfragen an
https://zonename.login.apigee.comwerden an den SAML-Identitätsanbieter des Kunden weitergeleitet. Beispiel:https://idp.example.com. - Wenn der Kunde nicht beim Identitätsanbieter angemeldet ist, wird er aufgefordert, sich anzumelden.
- Der Nutzer wird vom SAML-Identitätsanbieter authentifiziert. Der SAML-Identitätsanbieter generiert eine SAML 2.0-Assertion und gibt sie an die Edge-SSO zurück.
- Edge-SSO validiert die Assertion, extrahiert die Nutzeridentität aus der Assertion, generiert das OAuth 2.0-Authentifizierungstoken für die Edge-Benutzeroberfläche und leitet den Nutzer auf die Hauptseite der Edge-Benutzeroberfläche unter
https://zonename.apigee.com/platform/orgName
weiterDabei ist orgName der Name einer Edge-Organisation.
Weitere Informationen finden Sie unter Mit SAML auf die Edge API zugreifen.