Présentation de SAML

Vous consultez la documentation d'Apigee Edge.
Consultez la documentation Apigee X.
en savoir plus

SAML permet à des administrateurs spécifiques de contrôler la façon dont tous les membres de l'organisation s'authentifient lorsqu'ils utilisent Apigee Edge en déléguant l'accès à un serveur d'authentification unique (SSO). En utilisant SAML avec Edge, vous pouvez prendre en charge l'authentification unique pour l'interface utilisateur et l'API Edge en plus de tous les autres services que vous fournissez et qui prennent également en charge SAML.

Pour activer l'authentification unique à l'aide du protocole SAML pour les portails intégrés, consultez Configurer le fournisseur d'identité SAML.

Comprendre la gestion des zones d'identité dans Edge

Une zone d'identité est un domaine d'authentification qui définit les fournisseurs d'identité utilisés pour l'authentification ainsi que la configuration personnalisée de l'enregistrement et de la connexion des utilisateurs. Ce n'est que lorsque les utilisateurs s'authentifient auprès du fournisseur d'identité qu'ils peuvent accéder aux entités limitées à la zone d'identité.

Apigee Edge est compatible avec les types d'authentification décrits dans le tableau suivant.

Type d'authentification Description
Par défaut Créez un compte Apigee Edge et connectez-vous à l'interface utilisateur Edge à l'aide d'un nom d'utilisateur et d'un mot de passe. À l'aide de l'API Edge, vous utilisez ces mêmes informations d'identification avec l'authentification de base HTTP pour autoriser les appels.
SAML Le protocole SAML (Security assertion Markup Language) est un protocole standard pour les environnements d'authentification unique (SSO). L'authentification SSO par SAML vous permet de vous connecter à Apigee Edge à l'aide de vos informations d'identification existantes, sans avoir à créer de nouveaux comptes.

Pour assurer l'authentification SAML, vous devez créer une zone d'identité et configurer un fournisseur d'identité SAML, comme décrit dans la section Activer SAML.

Avantages de l'authentification SAML

L'authentification SAML offre plusieurs avantages. Avec SAML, vous pouvez effectuer les opérations suivantes :

  • Prenez un contrôle total de la gestion des utilisateurs: connectez le serveur SAML de votre entreprise à Edge. Lorsque des utilisateurs quittent votre organisation et sont déprovisionnés de manière centralisée, leur accès à Edge leur est automatiquement refusé.
  • Contrôlez la manière dont les utilisateurs s'authentifient pour accéder à Edge: sélectionnez différents types d'authentification pour vos organisations Edge.
  • Contrôler les règles d'authentification : votre fournisseur SAML peut accepter des règles d'authentification plus conformes aux normes de votre entreprise.
  • Surveillez les connexions et déconnexions, les tentatives de connexion infructueuses et les activités à haut risque sur votre déploiement Edge.

Points à prendre en compte

Avant de décider d'utiliser SAML, tenez compte des conditions suivantes:

  • Utilisateurs existants:vous devez ajouter tous les utilisateurs existants de l'organisation au fournisseur d'identité SAML.
  • Portail:si vous utilisez un portail de développeurs basé sur Drupal, celui-ci utilise OAuth pour accéder à Edge et devra peut-être être reconfiguré avant que vous puissiez l'utiliser.
  • L'authentification de base sera désactivée:vous devrez la remplacer par OAuth pour tous vos scripts.
  • OAuth et SAML doivent être séparés:si vous utilisez à la fois OAuth 2.0 et SAML, vous devez utiliser des sessions de terminal distinctes pour vos flux OAuth 2.0 et SAML.

Fonctionnement de SAML avec Edge

La spécification SAML définit trois entités :

  • Compte principal (utilisateur de l'interface utilisateur Edge)
  • Fournisseur de services (authentification unique Edge)
  • Fournisseur d'identité (renvoie l'assertion SAML)

Lorsque SAML est activé, le compte principal (un utilisateur de l'interface utilisateur Edge) demande l'accès au fournisseur de services (authentification unique Edge). Edge SSO (en tant que fournisseur de services SAML) demande et obtient ensuite une assertion d'identité de la part du fournisseur d'identité SAML et utilise cette assertion pour créer le jeton OAuth 2.0 requis pour accéder à l'interface utilisateur Edge. L'utilisateur est ensuite redirigé vers l'interface utilisateur Edge.

Ce processus est illustré ci-dessous:

Dans ce diagramme :

  1. L'utilisateur tente d'accéder à l'interface utilisateur Edge en envoyant une requête au domaine de connexion pour l'authentification unique Edge, qui comprend le nom de la zone. Exemple : https://zonename.login.apigee.com
  2. Les requêtes non authentifiées adressées à https://zonename.login.apigee.com sont redirigées vers le fournisseur d'identité SAML du client. Exemple : https://idp.example.com.
  3. Si le client n'est pas connecté au fournisseur d'identité, il est invité à se connecter.
  4. L'utilisateur est authentifié par le fournisseur d'identité SAML. Le fournisseur d'identité SAML génère et renvoie une assertion SAML 2.0 à l'authentification unique Edge.
  5. Edge SSO valide l'assertion, extrait l'identité de l'utilisateur de l'assertion, génère le jeton d'authentification OAuth 2.0 pour l'interface utilisateur Edge et redirige l'utilisateur vers la page principale de l'interface utilisateur Edge à l'adresse :
    https://zonename.apigee.com/platform/orgName

    orgName est le nom d'une organisation Edge.

Consultez également Accéder à l'API Edge avec SAML.

Vous lancer !

Découvrez comment activer SAML.