Descripción general de SAML

Estás viendo la documentación de Apigee Edge.
Ve a la Documentación de Apigee X.
información

SAML permite que administradores específicos controlen cómo se autentican todos los miembros de la organización. cuando se usa Apigee Edge delegando a un servidor de inicio de sesión único (SSO). Si usas SAML con Edge, puedes admitir el SSO para la IU y la API de Edge, además de cualquier otro servicio que proporciones y que también admita SAML.

Si quieres habilitar el SSO con SAML para los portales integrados, consulta Configura el proveedor de identidad de SAML.

Comprende la administración de zonas de identidad en Edge

Una zona de identidad es un dominio de autenticación que define los proveedores de identidad utilizados para la autenticación y la configuración personalizada de la experiencia de registro y acceso del usuario. Solo cuando los usuarios se autentican con el proveedor de identidad pueden acceder a las entidades que tienen alcance en la zona de identidad.

Apigee Edge admite los tipos de autenticación que se describen en la siguiente tabla.

Tipo de autenticación Descripción
Predeterminado Crea una cuenta de Apigee Edge y accede a la IU de Edge con un nombre de usuario y una contraseña. Cuando usas la API de Edge, usas esas mismas credenciales con la autenticación básica HTTP para autorizar llamadas.
SAML El lenguaje de marcado para aserción de seguridad (SAML) es un protocolo estándar para entornos de inicio de sesión único (SSO). La autenticación de SSO con SAML te permite acceder a Apigee Edge con tus credenciales existentes, sin tener que crear cuentas nuevas.

Para admitir la autenticación SAML, debes crear una zona de identidad nueva y configurar un proveedor de identidad de SAML. como se describe en Cómo habilitar SAML.

Ventajas de la autenticación de SAML

La autenticación de SAML ofrece varias ventajas. Si utiliza SAML, puede hacer lo siguiente:

  • Toma el control total de la administración de usuarios: Conecta el servidor SAML de tu empresa a Edge. Cuando los usuarios abandonan la organización y se desaprovisionan de forma centralizada, se les niega automáticamente el acceso a Edge.
  • Controla la forma en que los usuarios se autentican para acceder a Edge: Selecciona diferentes tipos de autenticación para tus organizaciones de Edge.
  • Controla las políticas de autenticación: Tu proveedor de SAML puede admitir políticas de autenticación que estén más alineadas con los estándares de tu empresa.
  • Supervisa los accesos, las salidas, los intentos de acceso fallidos y las actividades de alto riesgo en la implementación de Edge.

Consideraciones

Antes de decidir usar SAML, debes tener en cuenta los siguientes requisitos:

  • Usuarios existentes: Debe agregar a todos los usuarios existentes de la organización al servicio de SAML. de identidad de Google.
  • Portal: Si utilizas un portal para desarrolladores basado en Drupal, el portal usa OAuth. para acceder a Edge y es posible que debas reconfigurarla antes de poder usarla.
  • Se inhabilitará la autenticación básica: deberás reemplazar la autenticación básica por OAuth para todos los tus secuencias de comandos.
  • OAuth y SAML deben mantenerse separados: Si usas OAuth 2.0 y SAML, puedes debes usar sesiones de terminal separadas para tu flujo de OAuth 2.0 y de SAML.

Cómo funciona SAML con Edge

La especificación SAML define tres entidades:

  • Principal (usuario de la IU de Edge)
  • Proveedor de servicios (SSO de Edge)
  • Proveedor de identidad (devuelve la aserción de SAML)

Cuando SAML está habilitado, el principal (un usuario de la IU de Edge) solicita acceso al proveedor de servicios (SSO de Edge). El SSO perimetral (en su rol de proveedor de servicios SAML) solicita y obtiene un de identidad del proveedor de identidad SAML y la usa para crear OAuth 2.0 token necesario para acceder a la IU de Edge. Luego, se redirecciona al usuario a la IU de Edge.

Este proceso se muestra a continuación:

En este diagrama, se muestra lo siguiente:

  1. El usuario intenta acceder a la IU de Edge mediante una solicitud al dominio de acceso de Edge SSO, que incluye el nombre de la zona. Por ejemplo: https://zonename.login.apigee.com.
  2. Solicitudes sin autenticar a https://zonename.login.apigee.com se redireccionan al proveedor de identidad SAML del cliente. Por ejemplo, https://idp.example.com.
  3. Si el cliente no accedió al proveedor de identidad, se le solicita que lo haga en el que te etiquetaron.
  4. El proveedor de identidad SAML autentica al usuario. El proveedor de identidad SAML genera y muestra una aserción de SAML 2.0 al SSO de Edge.
  5. El SSO de Edge valida la aserción, extrae la identidad del usuario de la aserción, genera el token de autenticación de OAuth 2.0 para la IU de Edge y redirecciona al usuario a la IU de Edge principal en:
    https://zonename.apigee.com/platform/orgName

    orgName es el nombre de una organización de Edge.

Consulta también Accede a la API de Edge con SAML.

Comienza a usar la función.

Consultar cómo habilitar SAML