Przeglądasz dokumentację Apigee Edge.
Przejdź do
Dokumentacja Apigee X. informacje.
SAML pozwala określonym administratorom kontrolować sposób uwierzytelniania wszystkich członków organizacji podczas korzystania z Apigee Edge przez przekazywanie dostępu do serwera logowania jednokrotnego. Obsługa logowania jednokrotnego przez SAML w Edge interfejsu użytkownika i interfejsu API Edge, a także wszelkich innych usług świadczonych przez Ciebie i obsługujących SAML (Administracja > SAML).
Aby włączyć logowanie jednokrotne przez SAML dla zintegrowanych portali, zapoznaj się z artykułem Konfigurowanie dostawcy tożsamości SAML.
Informacje o zarządzaniu strefą tożsamości w Edge
Strefa tożsamości to obszar uwierzytelniania, który określa dostawców tożsamości używanych do uwierzytelniania. oraz niestandardową konfigurację procesu rejestracji i logowania użytkowników. Dostęp do encji ograniczonych do strefy tożsamości tylko wtedy, gdy użytkownicy uwierzytelnią się u dostawcy tożsamości.
Apigee Edge obsługuje typy uwierzytelniania opisane w tabeli poniżej.
| Typ uwierzytelniania | Opis |
| Domyślny | Utwórz konto Apigee Edge i zaloguj się w interfejsie Edge za pomocą nazwy użytkownika i hasła. Za pomocą interfejsu Edge API do autoryzacji wywołań używasz tych samych danych logowania w ramach podstawowego uwierzytelniania HTTP. |
| SAML | SAML (Security Assertion Markup Language) to standardowy protokół używany w środowiskach logowania jednokrotnego. Uwierzytelnianie SSO przy użyciu SAML umożliwia logowanie się w Apigee Edge za pomocą istniejących danych logowania bez konieczności tworzenia nowych kont. |
Aby obsługiwać uwierzytelnianie SAML, musisz utworzyć nową strefę tożsamości i skonfigurować dostawcę tożsamości SAML. zgodnie z opisem w artykule Włączanie SAML.
Zalety uwierzytelniania SAML
Uwierzytelnianie SAML ma kilka zalet. Korzystając z SAML, możesz:
- Przejmij pełną kontrolę nad zarządzaniem użytkownikami: połącz firmowy serwer SAML z usługą Edge. Gdy użytkownicy opuszczają organizację i są wyrejestrowane centralnie, automatycznie nie mają dostępu do Edge.
- Kontroluj sposób uwierzytelniania użytkowników, aby uzyskać dostęp do Edge: wybierz różne typy uwierzytelniania dla organizacji Edge.
- Kontrola nad zasadami uwierzytelniania: dostawca SAML może obsługiwać taką opcję. które są bardziej zgodne ze standardami firmowymi.
- Monitorowanie logowań, wylogowania, nieudanych prób logowania i aktywności wysokiego ryzyka we wdrożeniu Edge.
Uwagi
Zanim zdecydujesz się na korzystanie z SAML, zapoznaj się z tymi wymaganiami:
- Istniejący użytkownicy: do logowania SAML musisz dodać wszystkich istniejących użytkowników z organizacji dostawcy tożsamości.
- Portal: jeśli korzystasz z portalu dla deweloperów opartego na Drupalu, portal używa protokołu OAuth. do korzystania z Edge. Aby można było z niego korzystać, konieczne może być jego ponowne skonfigurowanie.
- Uwierzytelnianie podstawowe zostanie wyłączone: musisz zastąpić uwierzytelnianie podstawowe w całej domenie skryptów.
- Protokół OAuth i SAML muszą być przechowywane oddzielnie: jeśli używasz zarówno OAuth 2.0, jak i SAML, musi używać osobnych sesji terminala dla procesu OAuth 2.0 i procesu SAML.
Jak SAML współpracuje z Edge
Specyfikacja SAML definiuje 3 encje:
- Podmiot zabezpieczeń (użytkownik interfejsu Edge)
- Dostawca usług (edge SSO)
- Dostawca tożsamości (zwraca potwierdzenie SAML)
Gdy SAML jest włączony, podmiot zabezpieczeń (użytkownik interfejsu Edge) prosi o dostęp do dostawcy usług (Edge SSO). Edge SSO (w ramach roli dostawcy usługi SAML), a następnie żąda i otrzymuje potwierdzenie tożsamości od dostawcy tożsamości SAML i używa tego potwierdzenia do utworzenia protokołu OAuth 2.0 token wymagany do uzyskania dostępu do interfejsu Edge. Następnie użytkownik zostaje przekierowany do interfejsu Edge.
Proces ten wygląda tak:
Na tym diagramie:
- Użytkownik próbuje uzyskać dostęp do interfejsu Edge, wysyłając żądanie do domeny logowania na urządzeniu Edge
SSO obejmujące nazwę strefy. Przykład:
https://zonename.login.apigee.com - Nieuwierzytelnione żądania do
https://zonename.login.apigee.comsą przekierowywani do dostawcy tożsamości SAML klienta. Przykład:https://idp.example.com - Jeśli klient nie jest zalogowany u dostawcy tożsamości, zostanie poproszony o zalogowanie się cal
- Użytkownik jest uwierzytelniany przez dostawcę tożsamości SAML. Dostawca tożsamości SAML generuje i zwraca potwierdzenie SAML 2.0 do Edge SSO.
- Edge SSO weryfikuje potwierdzenie, wyodrębnia tożsamość użytkownika z potwierdzenia, generuje
token uwierzytelniania OAuth 2.0 dla interfejsu Edge i przekierowuje użytkownika do głównego interfejsu Edge
stronę pod adresem:
https://zonename.apigee.com/platform/orgName
Gdzie orgName to nazwa organizacji Edge.
Zapoznaj się też z artykułem Uzyskiwanie dostępu do interfejsu Edge API przez SAML.