Anda sedang melihat dokumentasi Apigee Edge.
Buka
dokumentasi Apigee X. info
SAML memungkinkan administrator tertentu mengontrol cara semua anggota organisasi melakukan autentikasi saat menggunakan Apigee Edge dengan mendelegasikannya ke server single sign-on (SSO). Dengan menggunakan SAML bersama Edge, Anda dapat mendukung SSO untuk UI dan API Edge selain layanan lain yang Anda berikan dan yang juga mendukung SAML.
Untuk mengaktifkan SSO menggunakan SAML untuk portal terintegrasi, lihat Mengonfigurasi penyedia identitas SAML.
Memahami pengelolaan zona identitas di Edge
Zona identitas adalah realm autentikasi yang menentukan penyedia identitas yang digunakan untuk autentikasi dan konfigurasi kustom dari pendaftaran pengguna dan pengalaman login. Hanya jika pengguna melakukan autentikasi dengan penyedia identitas, mereka dapat mengakses entitas yang dicakup dalam zona identitas.
Apigee Edge mendukung jenis autentikasi yang dijelaskan dalam tabel berikut.
| Jenis autentikasi | Deskripsi |
| Default | Buat akun Apigee Edge dan login ke UI Edge menggunakan nama pengguna dan sandi. Dengan Edge API, Anda dapat menggunakan kredensial yang sama dengan autentikasi dasar HTTP untuk mengizinkan panggilan. |
| SAML | {i>Security Assertion Markup Language <i}(SAML) adalah protokol standar untuk lingkungan {i>single sign-on<i} (SSO). Autentikasi SSO menggunakan SAML memungkinkan Anda login ke Apigee Edge menggunakan kredensial yang ada, tanpa harus membuat akun baru. |
Untuk mendukung autentikasi SAML, Anda dapat membuat zona identitas baru dan mengonfigurasi penyedia identitas SAML, seperti yang dijelaskan dalam artikel Mengaktifkan SAML.
Keuntungan autentikasi SAML
Autentikasi SAML menawarkan beberapa keuntungan. Dengan menggunakan SAML, Anda dapat:
- Ambil kendali penuh atas pengelolaan pengguna: Hubungkan server SAML perusahaan Anda ke Edge. Saat pengguna keluar dari organisasi Anda dan dicabut aksesnya secara terpusat, akses mereka ke Edge akan otomatis ditolak.
- Kontrol cara pengguna melakukan autentikasi untuk mengakses Edge: Pilih jenis autentikasi yang berbeda untuk organisasi Edge Anda.
- Mengontrol kebijakan autentikasi: Penyedia SAML Anda dapat mendukung kebijakan autentikasi yang lebih sesuai dengan standar perusahaan.
- Pantau login, logout, upaya login yang gagal, dan aktivitas berisiko tinggi di deployment Edge Anda.
Pertimbangan
Sebelum memutuskan untuk menggunakan SAML, Anda harus mempertimbangkan persyaratan berikut:
- Pengguna yang sudah ada: Anda harus menambahkan semua pengguna organisasi yang ada ke penyedia identitas SAML.
- Portal: Jika Anda menggunakan portal developer berbasis Drupal, portal tersebut menggunakan OAuth untuk mengakses Edge dan mungkin perlu dikonfigurasi ulang sebelum Anda dapat menggunakannya.
- Basic Auth akan dinonaktifkan: Anda harus mengganti Basic Auth dengan OAuth untuk semua skrip Anda.
- OAuth dan SAML harus tetap terpisah: Jika menggunakan OAuth 2.0 dan SAML, Anda harus menggunakan sesi terminal terpisah untuk alur OAuth 2.0 dan alur SAML.
Cara kerja SAML dengan Edge
Spesifikasi SAML menetapkan tiga entitas:
- Principal (pengguna Edge UI)
- Penyedia layanan (Edge SSO)
- Penyedia identitas (menampilkan pernyataan SAML)
Jika SAML diaktifkan, akun utama (pengguna Edge UI) akan meminta akses ke penyedia layanan (Edge SSO). Edge SSO (dalam perannya sebagai penyedia layanan SAML) kemudian meminta dan memperoleh pernyataan identitas dari penyedia identitas SAML dan menggunakan pernyataan tersebut untuk membuat token OAuth 2.0 yang diperlukan untuk mengakses UI Edge. Pengguna kemudian dialihkan ke UI Edge.
Proses ini ditampilkan di bawah ini:
Dalam diagram ini:
- Pengguna mencoba mengakses UI Edge dengan membuat permintaan ke domain login untuk SSO Edge, yang menyertakan nama zona. Misalnya,
https://zonename.login.apigee.com - Permintaan yang tidak diautentikasi ke
https://zonename.login.apigee.comakan dialihkan ke penyedia identitas SAML pelanggan. Misalnya,https://idp.example.com. - Jika pelanggan tidak login ke penyedia identitas, pelanggan akan diminta untuk login.
- Pengguna diautentikasi oleh penyedia identitas SAML. Penyedia identitas SAML membuat dan menampilkan pernyataan SAML 2.0 ke SSO Edge.
- SSO Edge memvalidasi pernyataan, mengekstrak identitas pengguna dari pernyataan, membuat
token autentikasi OAuth 2.0 untuk UI Edge, dan mengalihkan pengguna ke halaman UI Edge
utama di:
https://zonename.apigee.com/platform/orgName
Dengan orgName adalah nama organisasi Edge.
Lihat juga Mengakses Edge API dengan SAML.