Panoramica di SAML

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X. informazioni

SAML consente a amministratori specifici di controllare le modalità di autenticazione di tutti i membri dell'organizzazione durante l'utilizzo di Apigee Edge delega a un server Single Sign-On (SSO). Utilizzando SAML con Edge, puoi supportare il servizio SSO per l'API e la UI di Edge, oltre a qualsiasi altro servizio da te fornito e che supporti SAML.

Per attivare l'accesso SSO tramite SAML per i portali integrati, vedi Configurare il provider di identità SAML.

Informazioni sulla gestione delle zone di identità in Edge

Una zona delle identità è un'area di autenticazione di autenticazione che definisce i provider di identità utilizzati per l'autenticazione e la configurazione personalizzata dell'esperienza di registrazione e accesso degli utenti. Solo quando gli utenti si autenticano con il provider di identità possono accedere alle entità che rientrano nell'ambito della zona di identità.

Apigee Edge supporta i tipi di autenticazione descritti nella tabella seguente.

Tipo di autenticazione Descrizione
Predefinito Crea un account Apigee Edge e accedi all'interfaccia utente Edge utilizzando un nome utente e una password. Con l'API Edge, puoi utilizzare le stesse credenziali con l'autenticazione di base HTTP per autorizzare le chiamate.
SAML SAML (Security Assuntion Markup Language) è un protocollo standard per ambienti Single Sign-On (SSO). L'autenticazione SSO tramite SAML ti consente di accedere ad Apigee Edge utilizzando le tue credenziali esistenti, senza dover creare nuovi account.

Per supportare l'autenticazione SAML, crea una nuova zona di identità e configura un provider di identità SAML, come descritto in Abilitare SAML.

Vantaggi dell'autenticazione SAML

L'autenticazione SAML offre diversi vantaggi. Con SAML puoi:

  • Assumi il controllo completo della gestione degli utenti: connetti il server SAML della tua azienda a Edge. Quando gli utenti lasciano l'organizzazione e ne viene eseguito il deprovisioning a livello centrale, gli viene automaticamente negato l'accesso a Edge.
  • Controlla il modo in cui gli utenti eseguono l'autenticazione per accedere a Edge: seleziona diversi tipi di autenticazione per le tue organizzazioni Edge.
  • Controlla i criteri di autenticazione: il tuo provider SAML potrebbe supportare criteri di autenticazione più in linea con i tuoi standard aziendali.
  • Monitora gli accessi, le disconnessioni, i tentativi di accesso non riusciti e le attività ad alto rischio sul deployment Edge.

considerazioni

Prima di decidere di utilizzare SAML, è bene prendere in considerazione i seguenti requisiti:

  • Utenti esistenti: devi aggiungere tutti gli utenti dell'organizzazione esistenti al provider di identità SAML.
  • Portale: se utilizzi un portale per gli sviluppatori basato su Drupal, il portale utilizza OAuth per accedere a Edge e potrebbe essere necessario riconfigurare prima di poterlo utilizzare.
  • L'autenticazione di base verrà disattivata: dovrai sostituire l'autenticazione di base con OAuth per tutti gli script.
  • OAuth e SAML devono essere tenuti separati: se utilizzi sia OAuth 2.0 sia SAML, devi utilizzare sessioni di terminale separate per il flusso OAuth 2.0 e SAML.

Funzionamento di SAML con Edge

La specifica SAML definisce tre entità:

  • Entità (utente Edge UI)
  • Fornitore di servizi (SSO Edge)
  • Provider di identità (restituisce l'asserzione SAML)

Quando SAML è abilitato, l'entità (un utente della UI Edge) richiede l'accesso al fornitore di servizi (SSO Edge). Il servizio SSO Edge (nel suo ruolo di fornitore di servizi SAML) richiede e ottiene un'asserzione dell'identità dal provider di identità SAML e la utilizza per creare il token OAuth 2.0 necessario per accedere all'interfaccia utente Edge. L'utente viene quindi reindirizzato all'interfaccia utente Edge.

Questa procedura è illustrata di seguito:

In questo diagramma:

  1. L'utente tenta di accedere all'UI perimetrale inviando una richiesta al dominio di accesso per l'accesso SSO Edge, che include il nome della zona. Ad esempio: https://zonename.login.apigee.com
  2. Le richieste non autenticate a https://zonename.login.apigee.com vengono reindirizzate al provider di identità SAML del cliente. Ad esempio, https://idp.example.com.
  3. Se il cliente non ha eseguito l'accesso al provider di identità, gli verrà richiesto di eseguire l'accesso.
  4. L'utente è autenticato dal provider di identità SAML. Il provider di identità SAML genera e restituisce un'asserzione SAML 2.0 all'SSO Edge.
  5. L'SSO Edge convalida l'asserzione, estrae l'identità dell'utente dall'asserzione, genera il token di autenticazione OAuth 2.0 per la UI Edge e reindirizza l'utente alla pagina principale della UI Edge all'indirizzo: 
    https://zonename.apigee.com/platform/orgName

    Dove orgName è il nome di un'organizzazione Edge.

Vedi anche Accedere all'API Edge con SAML.

Inizia a usufruirne.

Scopri come attivare SAML