SAML の概要

SAML を使用すると、特定の管理者が Apigee Edge の使用時に、シングル サインオン(SSO)サーバーに委任することによって、組織のすべてのメンバーを認証する方法を制御できます。Edge で SAML を使用することで、Edge UI と API での SSO をサポートできるだけでなく、提供する他のサービスが SAML をサポートしていれば、それらのサービスでも SSO を使用できます。

統合ポータルに SAML を使用して SSO を有効にするには、SAML ID プロバイダを構成するをご覧ください。

Edge での ID ゾーン管理について

ID ゾーンとは、認証に使用される ID プロバイダに加えて、ユーザーの登録とログインのエクスペリエンスといったカスタム構成を定義する認証領域のことです。ユーザーは、ID プロバイダで認証された場合にのみ、ID ゾーンの対象となるエンティティにアクセスできます。

Apigee Edge では、次の表で説明している認証タイプがサポートされます。

認証タイプ 説明
デフォルト Apigee Edge アカウントを作成し、ユーザー名とパスワードを使用して Edge UI にログインします。Edge API を使用する場合、HTTP の Basic 認証でこれらと同じ認証情報を使用して呼び出しを承認します。
SAML SAML(セキュリティ アサーション マークアップ言語)は、シングル サインオン(SSO)環境用の標準プロトコルです。SAML を使用する SSO 認証では、新しいアカウントを作成する必要なしに、既存の認証情報を使用して Apigee Edge にログインできます。

SAML 認証をサポートするには、SAML を有効にするで説明しているように、新しい ID ゾーンを作成して、SAML ID プロバイダを構成します。

Edge 組織外の Apigee Edge 用の ID ゾーンを管理します。これによって、次の利点が得られます。

  • 同じ ID ゾーンを使用する複数の組織を割り当てる
  • 複数の組織用に 1 か所で SAML を構成する

SAML 認証の利点

SAML 認証には、いくつかの利点があります。SAML を使用すると、次のことが可能になります。

  • ユーザー管理を完全に制御できる: 会社の SAML サーバーを Edge に接続します。組織を離れたユーザーが中央でプロビジョニング解除されると、そのユーザーに対しては Edge へのアクセスが自動的に拒否されます。
  • Edge にアクセスするユーザーの認証方法を制御する: Edge 組織にそれぞれ異なる認証タイプを選択します。
  • 認証ポリシーの制御: SAML プロバイダのほうが、企業の標準とより一致した認証ポリシーをサポートしている場合もあります。
  • Edge デプロイでのログイン、ログアウト、失敗したログイン試行、高リスクのアクティビティのモニタリング

考慮事項

SAML の使用を決定する前に、以下の要件について考慮する必要があります。

  • 既存のユーザー: 既存のすべての組織ユーザーを SAML ID プロバイダに追加する必要があります。
  • ポータル: Drupal ベースのデベロッパー ポータルを使用している場合、ポータルで OAuth を使用して Edge にアクセスします。使用するには、事前に構成する必要があります。
  • Basic 認証が無効になる: すべてのスクリプトに対して、Basic 認証を OAuth に置換する必要があります。
  • OAuth と SAML を分離する必要がある: OAuth 2.0 と SAML の両方を使用する場合、OAuth 2.0 フローと SAML フローに別々のターミナル セッションを使用する必要があります。

Edge での SAML の使用方法

SAML 仕様では、次の 3 つのエンティティを定義しています。

  • プリンシパル(Edge UI ユーザー)
  • サービス プロバイダ(Edge SSO)
  • ID プロバイダ(SAML アサーションを返します)

SAML が有効な場合、プリンシパル(Edge UI ユーザー)がサービス プロバイダ(Edge SSO)にアクセスをリクエストします。すると、Edge SSO が(SAML サービス プロバイダとしての役割で)SAML ID プロバイダに ID アサーションをリクエストします。Edge SSO は SAML ID プロバイダから取得した ID アサーションを使用して、Edge UI にアクセスするために必要な OAuth 2.0 トークンを作成します。トークンが作成されると、ユーザーは Edge UI にリダイレクトされます。

次の図に、このプロセスを示します。

上の図では、次のプロセスが行われています。

  1. ユーザーが Edge SSO のログイン ドメインにリクエストを行って、Edge UI にアクセスしようとします。これには、ゾーン名が含まれています。たとえば、https://zonename.login.apigee.com です。
  2. https://zonename.login.apigee.com に対する未認証のリクエストは、お客様の SAML ID プロバイダにリダイレクトされます。たとえば、https://idp.example.com です。
  3. お客様がまだ ID プロバイダにログインしていない場合は、ログインするよう求められます。
  4. SAML ID プロバイダによってユーザーが認証されます。SAML ID プロバイダは SAML 2.0 アサーションを生成し、そのアサーションを Edge SSO に返します。
  5. Edge SSO がアサーションを検証し、アサーションからユーザー ID を抽出して Edge UI 用の OAuth 2.0 認証トークンを生成します。その後、ユーザーを次の場所にあるメイン Edge UI ページにリダイレクトします。
    https://zonename.apigee.com/platform/orgName

    ここで、orgName は Edge 組織の名前です。

Access the Edge API with SAML もご覧ください。

使ってみる

SAML を有効にする方法を参照