Visão geral de SAML

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X.
informações

O SAML permite que administradores específicos controlem como todos os membros da organização são autenticados ao usar o Apigee Edge delegando a um servidor de Logon único (SSO). Ao usar o SAML com o Edge, você oferece suporte ao SSO para a IU e a API do Edge, além de todos os outros serviços que você fornece e que também são compatíveis com o SAML.

Para ativar o SSO usando SAML para portais integrados, consulte Configurar o provedor de identidade SAML.

Entender o gerenciamento de zonas de identidade no Edge

Uma zona de identidade é um realm de autenticação que define os provedores de identidade usados para autenticação e configuração personalizada da experiência de registro e login do usuário. Os usuários só podem acessar as entidades no escopo da zona de identidade quando são autenticados com o provedor de identidade.

O Apigee Edge oferece suporte aos tipos de autenticação descritos na tabela a seguir.

Tipo de autenticação Descrição
Padrão Crie uma conta do Apigee Edge e faça login na IU do Edge usando um nome de usuário e senha. Com a API Edge, você usa essas mesmas credenciais com a autenticação HTTP básica para autorizar chamadas.
SAML A Linguagem de marcação de declaração de segurança (SAML) é um protocolo padrão para ambientes de Logon único (SSO). Com a autenticação SSO usando SAML, você pode fazer login no Apigee Edge com suas credenciais, sem precisar criar novas contas.

Para oferecer suporte à autenticação SAML, crie uma nova zona de identidade e configure um provedor de identidade SAML, conforme descrito em Ativar SAML.

Vantagens da autenticação SAML

A autenticação SAML oferece várias vantagens. Ao usar a SAML, você pode:

  • Controle total do gerenciamento de usuários: conecte o servidor SAML da sua empresa ao Edge. Quando os usuários saem da organização e são desprovisionados centralmente, o acesso ao Edge é automaticamente negado.
  • Controlar como os usuários se autenticam para acessar o Edge:selecione tipos de autenticação diferentes para suas organizações do Edge.
  • Controlar as políticas de autenticação: seu provedor SAML pode permitir políticas de autenticação que estejam mais alinhadas aos padrões da sua empresa.
  • Monitore logins, logouts, tentativas de login malsucedidas e atividades de alto risco na implantação do Edge.

considerações

Antes de decidir usar o SAML, considere os seguintes requisitos:

  • Usuários atuais:adicione todos os usuários da organização ao provedor de identidade SAML.
  • Portal:se você estiver usando um portal de desenvolvedor baseado em Drupal, ele vai usar o OAuth para acessar o Edge e talvez precise ser reconfigurado antes de usar.
  • A autenticação básica será desativada: será necessário substituir a autenticação básica pelo OAuth em todos os scripts.
  • O OAuth e o SAML precisam ser mantidos separados:se você usa o OAuth 2.0 e o SAML, é necessário usar sessões de terminal separadas para o fluxo do OAuth 2.0 e o fluxo SAML.

Como o SAML funciona com o Edge

A especificação SAML define três entidades:

  • Principal (usuário da interface do Edge)
  • Provedor de serviços (SSO do Edge)
  • Provedor de identidade (retorna a declaração SAML)

Quando o SAML está ativado, o principal (um usuário da interface do Edge) solicita acesso ao provedor de serviços (SSO do Edge). Em seguida, o SSO de borda (no papel de provedor de serviços SAML), solicita e recebe uma declaração de identidade do provedor de identidade SAML e a usa para criar o token do OAuth 2.0 necessário para acessar a IU do Edge. O usuário é redirecionado para a IU do Edge.

Esse processo é mostrado abaixo:

Neste diagrama:

  1. O usuário tenta acessar a interface do Edge fazendo uma solicitação ao domínio de login do SSO do Edge, que inclui o nome da zona. Por exemplo, https://zonename.login.apigee.com
  2. As solicitações não autenticadas para https://zonename.login.apigee.com são redirecionadas para o provedor de identidade SAML do cliente. Por exemplo, https://idp.example.com.
  3. Se o cliente não estiver conectado ao provedor de identidade, ele receberá uma solicitação para fazer login.
  4. O usuário é autenticado pelo provedor de identidade SAML. O provedor de identidade SAML gera e retorna uma declaração SAML 2.0 para o SSO de borda.
  5. O SSO de borda valida a declaração, extrai a identidade do usuário da declaração, gera o token de autenticação OAuth 2.0 para a interface do Edge e redireciona o usuário para a página principal dessa interface em:
    https://zonename.apigee.com/platform/orgName

    Em que orgName é o nome de uma organização de Edge.

Consulte também Acessar a API Edge com SAML.

Primeiros passos

Confira como ativar o SAML