Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
SAML pozwala określonym administratorom kontrolować sposób uwierzytelniania wszystkich członków organizacji podczas korzystania z Apigee Edge przez przekazywanie dostępu do serwera logowania jednokrotnego. Używając SAML w przeglądarce Edge, możesz obsługiwać logowanie jednokrotne w interfejsie użytkownika Edge i interfejsie API, a także wszelkich innych udostępnianych przez Ciebie usługach, które również obsługują SAML.
Aby włączyć logowanie jednokrotne przez SAML w zintegrowanych portalach, przeczytaj artykuł Konfigurowanie dostawcy tożsamości SAML.
Omówienie zarządzania strefami tożsamości w Edge
Strefa tożsamości to obszar uwierzytelniania, który określa dostawców tożsamości używanych do uwierzytelniania oraz niestandardową konfigurację rejestracji i logowania użytkowników. Tylko użytkownicy, którzy uwierzytelniają się u dostawcy tożsamości, mogą uzyskać dostęp do encji ograniczonych do strefy tożsamości.
Apigee Edge obsługuje typy uwierzytelniania opisane w poniższej tabeli.
| Typ uwierzytelniania | Opis |
| Domyślne | Utwórz konto Apigee Edge i zaloguj się w interfejsie Edge za pomocą nazwy użytkownika i hasła. W interfejsie Edge API używasz tych samych danych logowania w podstawowym uwierzytelnianiu HTTP, aby autoryzować wywołania. |
| SAML | Security assertion Markup Language (SAML) to standardowy protokół używany w środowiskach logowania jednokrotnego. Uwierzytelnianie logowania jednokrotnego przy użyciu SAML umożliwia logowanie się w Apigee Edge przy użyciu istniejących danych logowania bez konieczności tworzenia nowych kont. |
Aby obsługiwać uwierzytelnianie przez SAML, utwórz nową strefę tożsamości i skonfiguruj dostawcę tożsamości SAML zgodnie z opisem w sekcji Włączanie SAML.
Zalety uwierzytelniania SAML
Uwierzytelnianie SAML ma kilka zalet. Dzięki SAML możesz:
- Przejmij pełną kontrolę nad zarządzaniem użytkownikami: połącz firmowy serwer SAML z usługą Edge. Gdy użytkownicy opuszczą organizację i zostaną wyrejestrowane centralnie, automatycznie utracą dostęp do Edge.
- Kontrola nad sposobem uwierzytelniania użytkowników w celu uzyskania dostępu do Edge: wybierz różne typy uwierzytelniania dla organizacji Edge.
- Kontrolowanie zasad uwierzytelniania: dostawca SAML może obsługiwać zasady uwierzytelniania bardziej zgodne ze standardami przedsiębiorstwa.
- Monitoruj logowania, wylogowania, nieudane próby logowania i aktywności wysokiego ryzyka we wdrożeniu Edge.
co należy wziąć pod uwagę
Zanim zdecydujesz się na korzystanie z SAML, weź pod uwagę te wymagania:
- Istniejący użytkownicy: do dostawcy tożsamości SAML musisz dodać wszystkich istniejących użytkowników z organizacji.
- Portal: jeśli korzystasz z portalu dla programistów opartego na Drupal, portal ten korzysta z protokołu OAuth do uzyskiwania dostępu do Edge i może wymagać ponownej konfiguracji, zanim będzie można go używać.
- Podstawowe uwierzytelnianie zostanie wyłączone: we wszystkich swoich skryptach musisz zastąpić uwierzytelnianie podstawowe protokołem OAuth.
- Protokół OAuth 2.0 i SAML muszą być oddzielne: jeśli używasz zarówno OAuth 2.0, jak i SAML, musisz używać osobnych sesji terminala dla procesów OAuth 2.0 i SAML.
Jak SAML współpracuje z Edge
Specyfikacja SAML definiuje 3 encje:
- Podmiot zabezpieczeń (użytkownik interfejsu Edge)
- Dostawca usług (logowanie jednokrotne Edge)
- Dostawca tożsamości (zwraca potwierdzenie SAML)
Gdy SAML jest włączona, podmiot zabezpieczeń (użytkownik interfejsu Edge) prosi o dostęp do dostawcy usług (logowania jednokrotnego brzegowego). Logowanie jednokrotne na serwerach brzegowych (w swojej roli jako dostawcy usługi SAML) wysyła żądanie i uzyskuje potwierdzenie tożsamości od dostawcy tożsamości SAML oraz wykorzystuje to potwierdzenie do utworzenia tokena OAuth 2.0 wymaganego do uzyskania dostępu do interfejsu Edge. Następnie użytkownik zostaje przekierowany do interfejsu Edge.
Proces ten wygląda tak:
Na tym diagramie:
- Użytkownik próbuje uzyskać dostęp do interfejsu Edge, wysyłając żądanie do domeny logowania dla logowania jednokrotnego na serwerach brzegowych (zawierającej nazwę strefy). Przykład:
https://zonename.login.apigee.com - Nieuwierzytelnione żądania wysyłane do usługi
https://zonename.login.apigee.comsą przekierowywane do dostawcy tożsamości SAML klienta. Na przykład:https://idp.example.com. - Jeśli klient nie jest zalogowany u dostawcy tożsamości, jest proszony o zalogowanie się.
- Użytkownik jest uwierzytelniony przez dostawcę tożsamości SAML. Dostawca tożsamości SAML generuje i zwraca potwierdzenie SAML 2.0 do logowania jednokrotnego Edge.
- Logowanie jednokrotne w przeglądarce Edge weryfikuje potwierdzenie, wyodrębnia tożsamość użytkownika z potwierdzenia, generuje token uwierzytelniania OAuth 2.0 dla interfejsu użytkownika Edge i przekierowuje użytkownika na główną stronę UI Edge pod adresem:
https://zonename.apigee.com/platform/orgName
Gdzie orgName to nazwa organizacji Edge.
Zobacz też Uzyskiwanie dostępu do interfejsu Edge API przez SAML.