סקירה כללית של SAML

כרגע מוצג התיעוד של Apigee Edge.
כניסה למסמכי התיעוד של Apigee X.
מידע

SAML מאפשר לאדמינים ספציפיים לשלוט באופן שבו כל חברי הארגון מבצעים אימות כשמשתמשים ב-Apigee Edge. לשם כך, הם יכולים להעניק גישה לשרת של כניסה יחידה (SSO). באמצעות SAML עם Edge תוכלו לתמוך ב-SSO לממשק המשתמש של Edge ול-API, בנוסף לכל השירותים שאתם מספקים ושתומכים גם ב-SAML.

כדי להפעיל SSO באמצעות SAML לפורטלים משולבים, אפשר לעיין במאמר הגדרת ספק הזהויות של SAML.

הסבר על ניהול אזורי הזהויות ב-Edge

אזור הזהות הוא תחום אימות שבו מוגדרים ספקי הזהויות שמשמשים לאימות ולהגדרה מותאמת אישית של חוויית ההרשמה והכניסה של משתמשים. רק כשמשתמשים מבצעים אימות מול ספק הזהויות, הם יכולים לגשת לישויות שתוקצה לטווח הזהויות.

ב-Apigee Edge יש תמיכה בסוגי האימות שמתוארים בטבלה הבאה.

סוג האימות תיאור
ברירת המחדל יוצרים חשבון Apigee Edge ונכנסים לממשק המשתמש של Edge באמצעות שם משתמש וסיסמה. ב-Edge API משתמשים באותם פרטי כניסה עם אימות בסיסי ב-HTTP כדי לאשר קריאות.
SAML שפת הסימון של טענת האבטחה (SAML) היא פרוטוקול סטנדרטי לסביבות של כניסה יחידה (SSO). אימות SSO באמצעות SAML מאפשר לכם להיכנס ל-Apigee Edge באמצעות פרטי הכניסה הקיימים שלכם, בלי שתצטרכו ליצור חשבונות חדשים.

כדי לתמוך באימות SAML, עליך ליצור אזור זהות חדש ולהגדיר ספק זהויות של SAML, כמתואר בהפעלת SAML.

היתרונות של אימות SAML

לאימות SAML יש כמה יתרונות. באמצעות SAML אפשר:

  • שליטה מלאה על ניהול המשתמשים: חיבור שרת ה-SAML של החברה ל-Edge. כשמשתמשים עוזבים את הארגון וניהול ההקצאות שלהם מבוטל באופן מרכזי, הגישה שלהם ל-Edge נדחית באופן אוטומטי.
  • שליטה באופן שבו משתמשים מבצעים אימות כדי לגשת ל-Edge: בוחרים סוגי אימות שונים לארגוני Edge.
  • שליטה במדיניות האימות: יכול להיות שספק ה-SAML שלכם תומך בכללי מדיניות אימות שתואמים יותר לסטנדרטים של הארגון.
  • מעקב אחרי התחברות, התנתקות, ניסיונות התחברות כושלים ופעילויות בסיכון גבוה בפריסה של Edge.

שיקולים

לפני שמחליטים להשתמש ב-SAML, כדאי להביא בחשבון את הדרישות הבאות:

  • משתמשים קיימים: צריך להוסיף את כל המשתמשים הקיימים בארגון לספק הזהויות ב-SAML.
  • פורטל: אם אתם משתמשים בפורטל למפתחים שמבוסס על Drupal, הפורטל משתמש ב-OAuth כדי לגשת ל-Edge, ויכול להיות שצריך להגדיר אותו מחדש כדי שיהיה אפשר להשתמש בו.
  • האימות הבסיסי יושבת: יהיה עליך להחליף את האימות הבסיסי ב-OAuth עבור כל הסקריפטים שלך.
  • צריך לשמור על הפרדה בין OAuth ל-SAML: אם משתמשים ב-OAuth 2.0 וגם ב-SAML, צריך להשתמש בסשנים נפרדים של טרמינל לתהליך OAuth 2.0 ולתהליך SAML.

איך SAML עובד עם Edge

מפרט SAML מגדיר שלוש ישויות:

  • חשבון משתמש (משתמש בממשק קצה (Edge)
  • ספק שירות (Edge SSO)
  • ספק הזהויות (מחזיר טענת נכוֹנוּת (assertion) של SAML)

כש-SAML מופעל, חשבון המשתמש (משתמש בממשק המשתמש של Edge) מבקש גישה לספק השירות (Edge SSO). SSO ב-Edge (בתפקידו כספק שירות של SAML), מבקש טענת נכוֹנוּת (assertion) של זהות מספק הזהויות של SAML ומשתמש בטענת הנכוֹנוּת (assertion) הזו כדי ליצור את אסימון OAuth 2.0 שנדרש כדי לגשת לממשק המשתמש של Edge. אחר כך המשתמש יופנה אוטומטית לממשק המשתמש של Edge.

התהליך מוצג בהמשך:

בתרשים הזה:

  1. המשתמש מנסה להיכנס לממשק המשתמש של Edge באמצעות בקשה לדומיין ההתחברות ל-SSO של Edge, שכולל את שם האזור. לדוגמה, https://zonename.login.apigee.com
  2. בקשות לא מאומתות אל https://zonename.login.apigee.com מופנות לספק הזהויות ב-SAML של הלקוח. לדוגמה, https://idp.example.com.
  3. אם הלקוח לא מחובר לספק הזהויות, הוא מתבקש להתחבר.
  4. המשתמש מאומת על ידי ספק הזהויות של SAML. ספק הזהויות של SAML יוצר ומחזיר טענת נכוֹנוּת (assertion) של SAML 2.0 אל ה-SSO של Edge.
  5. כניסה יחידה מסוג Edge מאמתת את טענת הנכוֹנוּת (assertion), מחלצת את זהות המשתמש מהטענת נכונות, יוצרת את אסימון האימות של OAuth 2.0 לממשק המשתמש של Edge ומפנה את המשתמש לדף הראשי של ממשק המשתמש של Edge בכתובת:
    https://zonename.apigee.com/platform/orgName

    כאשר orgName הוא השם של ארגון Edge.

כדאי גם לקרוא את המאמר גישה ל-Edge API באמצעות SAML.

קדימה, לעבודה!

כך מפעילים SAML