Descripción general de SAML

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X.
Información

SAML permite que los administradores específicos controlen cómo se autentican todos los miembros de la organización cuando usan Apigee Edge mediante la delegación a un servidor de inicio de sesión único (SSO). Mediante el uso de SAML con Edge, puedes admitir el SSO para la IU y la API de Edge, además de cualquier otro servicio que proporciones y que también admita SAML.

Si desea habilitar el SSO mediante SAML para portales integrados, consulte Configurar el proveedor de identidad de SAML.

Comprende la administración de zonas de identidad en Edge

Una zona de identidad es un dominio de autenticación que define los proveedores de identidad que se usan para la autenticación y la configuración personalizada del registro de usuarios y la experiencia de acceso. Solo cuando los usuarios se autentican con el proveedor de identidad pueden acceder a las entidades con alcance en la zona de identidad.

Apigee Edge admite los tipos de autenticación que se describen en la siguiente tabla.

Tipo de autenticación Descripción
Predeterminada Crea una cuenta de Apigee Edge y accede a la IU de Edge con un nombre de usuario y una contraseña. En la API de Edge, puedes usar esas mismas credenciales con la autenticación básica HTTP para autorizar llamadas.
SAML El lenguaje de marcado de aserción de seguridad (SAML) es un protocolo estándar para entornos de inicio de sesión único (SSO). La autenticación de SSO mediante SAML le permite acceder a Apigee Edge con sus credenciales existentes, sin tener que crear cuentas nuevas.

Para admitir la autenticación SAML, debes crear una zona de identidad nueva y configurar un proveedor de identidad SAML, como se describe en Habilita SAML.

Ventajas de la autenticación de SAML

La autenticación de SAML ofrece varias ventajas. Si utiliza SAML, puede hacer lo siguiente:

  • Toma el control total de la administración de usuarios: Conecta el servidor SAML de tu empresa a Edge. Cuando los usuarios abandonan la organización y se desaprovisionan de forma centralizada, se les niega automáticamente el acceso a Edge.
  • Controla cómo los usuarios se autentican para acceder a Edge: Selecciona diferentes tipos de autenticación para las organizaciones de Edge.
  • Controla las políticas de autenticación: Tu proveedor de SAML puede admitir políticas de autenticación que estén más alineadas con los estándares de tu empresa.
  • Supervisa los accesos, las salidas, los intentos de acceso fallidos y las actividades de alto riesgo en tu implementación de Edge.

Consideraciones

Antes de decidir usar SAML, ten en cuenta los siguientes requisitos:

  • Usuarios existentes: Debes agregar todos los usuarios existentes de la organización al proveedor de identidad de SAML.
  • Portal: Si usas un portal para desarrolladores basado en Drupal, el portal usa OAuth para acceder a Edge y es posible que debas volver a configurarlo antes de que puedas usarlo.
  • Se inhabilitará la autenticación básica: Deberás reemplazar la autenticación básica por OAuth para todas tus secuencias de comandos.
  • OAuth y SAML deben mantenerse separados: Si usas OAuth 2.0 y SAML, debes usar sesiones de terminal separadas para tu flujo de OAuth 2.0 y de SAML.

Cómo funciona SAML con Edge

La especificación SAML define tres entidades:

  • Principal (usuario de IU de Edge)
  • Proveedor de servicios (SSO de Edge)
  • Proveedor de identidad (muestra la aserción de SAML)

Cuando se habilita SAML, la principal (un usuario de la IU de Edge) solicita acceso al proveedor de servicios (SSO de Edge). El SSO de Edge (en su función como proveedor de servicios de SAML) solicita y obtiene una aserción de identidad del proveedor de identidad de SAML y la usa para crear el token de OAuth 2.0 necesario para acceder a la IU de Edge. Luego, se redirecciona al usuario a la IU de Edge.

Este proceso se muestra a continuación:

En este diagrama, se ilustra lo siguiente:

  1. El usuario intenta acceder a la IU de Edge mediante una solicitud al dominio de acceso para el SSO de Edge, que incluye el nombre de la zona. Por ejemplo: https://zonename.login.apigee.com.
  2. Las solicitudes no autenticadas a https://zonename.login.apigee.com se redireccionan al proveedor de identidad de SAML del cliente. Por ejemplo, https://idp.example.com.
  3. Si el cliente no accedió al proveedor de identidad, se le solicitará que lo haga.
  4. El proveedor de identidad de SAML autentica al usuario. El proveedor de identidad de SAML genera y muestra una aserción de SAML 2.0 al SSO perimetral.
  5. El SSO de Edge valida la aserción, extrae la identidad del usuario de la aserción, genera el token de autenticación de OAuth 2.0 para la IU de Edge y redirecciona al usuario a la página principal de la IU de Edge en la siguiente dirección:
    https://zonename.apigee.com/platform/orgName

    En el ejemplo anterior, orgName es el nombre de una organización de Edge.

Consulta también Accede a la API de Edge con SAML.

Comienza a usar la función.

Consulte cómo habilitar SAML