คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล
SAML ช่วยให้ผู้ดูแลระบบบางรายควบคุมวิธีที่สมาชิกองค์กรทุกคนตรวจสอบสิทธิ์ได้เมื่อใช้ Apigee Edge เช่นกันโดยมอบสิทธิ์ไปยังเซิร์ฟเวอร์การลงชื่อเพียงครั้งเดียว (SSO) การใช้ SAML กับ Edge ช่วยให้คุณรองรับ SSO สำหรับ Edge UI และ API นอกเหนือจากบริการอื่นๆ ที่มีและรองรับ SAML ด้วยเช่นกัน
หากต้องการเปิดใช้ SSO โดยใช้ SAML สำหรับพอร์ทัลที่ผสานรวม โปรดดูกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML
ทำความเข้าใจการจัดการโซนข้อมูลประจำตัวใน Edge
โซนข้อมูลประจำตัวคือขอบเขตการตรวจสอบสิทธิ์ที่กำหนดผู้ให้บริการข้อมูลประจำตัวที่ใช้สำหรับการตรวจสอบสิทธิ์ และการกำหนดค่าที่กำหนดเองของการลงทะเบียนผู้ใช้และประสบการณ์การลงชื่อเข้าใช้ เมื่อผู้ใช้ตรวจสอบสิทธิ์กับผู้ให้บริการข้อมูลประจำตัวแล้ว ผู้ใช้จะเข้าถึงเอนทิตีที่กำหนดขอบเขตไปที่โซนข้อมูลระบุตัวตนได้
Apigee Edge รองรับประเภทการตรวจสอบสิทธิ์ตามที่อธิบายไว้ในตารางต่อไปนี้
ประเภทการตรวจสอบสิทธิ์ | คำอธิบาย |
ค่าเริ่มต้น | สร้างบัญชี Apigee Edge และลงชื่อเข้าใช้ Edge UI ด้วยชื่อผู้ใช้และรหัสผ่าน เมื่อใช้ Edge API คุณจะใช้ข้อมูลเข้าสู่ระบบเดียวกันกับการตรวจสอบสิทธิ์พื้นฐานของ HTTP เพื่อให้สิทธิ์การเรียกใช้ได้ |
SAML | ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) เป็นโปรโตคอลมาตรฐานสำหรับสภาพแวดล้อมการลงชื่อเพียงครั้งเดียว (SSO) การตรวจสอบสิทธิ์ SSO โดยใช้ SAML ช่วยให้คุณลงชื่อเข้าใช้ Apigee Edge ได้โดยใช้ข้อมูลเข้าสู่ระบบที่มีอยู่โดยไม่ต้องสร้างบัญชีใหม่ |
หากต้องการรองรับการตรวจสอบสิทธิ์ SAML คุณต้องสร้างโซนข้อมูลประจำตัวใหม่และกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ตามที่อธิบายไว้ในเปิดใช้ SAML
ข้อดีของการตรวจสอบสิทธิ์ SAML
การตรวจสอบสิทธิ์ด้วย SAML มีข้อดีมากมาย เมื่อใช้ SAML คุณจะทำสิ่งต่อไปนี้ได้
- ควบคุมการจัดการผู้ใช้ได้อย่างเต็มที่: เชื่อมต่อเซิร์ฟเวอร์ SAML ของบริษัทกับ Edge เมื่อผู้ใช้ออกจากองค์กรและยกเลิกการจัดสรรจากส่วนกลาง ผู้ใช้ดังกล่าวจะถูกปฏิเสธการเข้าถึง Edge โดยอัตโนมัติ
- ควบคุมวิธีที่ผู้ใช้ตรวจสอบสิทธิ์เพื่อเข้าถึง Edge: เลือกประเภทการตรวจสอบสิทธิ์ที่แตกต่างกันสำหรับองค์กร Edge
- ควบคุมนโยบายการตรวจสอบสิทธิ์: ผู้ให้บริการ SAML อาจรองรับนโยบายการตรวจสอบสิทธิ์ที่สอดคล้องกับมาตรฐานขององค์กรมากกว่า
- ตรวจสอบการเข้าสู่ระบบ การออกจากระบบ การพยายามเข้าสู่ระบบที่ไม่สำเร็จ และกิจกรรมที่มีความเสี่ยงสูงในการติดตั้งใช้งาน Edge
ข้อควรพิจารณา
ก่อนตัดสินใจใช้ SAML คุณควรพิจารณาข้อกำหนดต่อไปนี้
- ผู้ใช้ที่มีอยู่: คุณต้องเพิ่มผู้ใช้ขององค์กรที่มีอยู่ทั้งหมดลงในผู้ให้บริการข้อมูลประจำตัว SAML
- พอร์ทัล: หากคุณใช้พอร์ทัลสำหรับนักพัฒนาซอฟต์แวร์ที่ใช้ Drupal พอร์ทัลจะใช้ OAuth เพื่อเข้าถึง Edge และอาจต้องกำหนดค่าใหม่ก่อนจึงจะใช้งานได้
- การตรวจสอบสิทธิ์พื้นฐานจะถูกปิดใช้: คุณจะต้องแทนที่การตรวจสอบสิทธิ์พื้นฐานด้วย OAuth สำหรับสคริปต์ทั้งหมด
- ต้องเก็บ OAuth และ SAML แยกกัน: หากใช้ทั้ง OAuth 2.0 และ SAML คุณต้องใช้เซสชันเทอร์มินัลแยกกันสำหรับขั้นตอน OAuth 2.0 และขั้นตอน SAML
วิธีที่ SAML ทำงานร่วมกับ Edge
ข้อกำหนดของ SAML ระบุเอนทิตี 3 รายการดังนี้
- ผู้ใช้หลัก (ผู้ใช้ Edge UI)
- ผู้ให้บริการ (Edge SSO)
- Identity Provider (ส่งคืนการยืนยัน SAML)
เมื่อเปิดใช้ SAML ผู้ใช้หลัก (ผู้ใช้ Edge UI) จะขอสิทธิ์เข้าถึงผู้ให้บริการ (Edge SSO) Edge SSO (ในบทบาทเป็นผู้ให้บริการ SAML) จะส่งคำขอและรับการยืนยันข้อมูลประจำตัวจากผู้ให้บริการข้อมูลประจำตัว SAML และใช้การยืนยันดังกล่าวในการสร้างโทเค็น OAuth 2.0 ที่จำเป็นต่อการเข้าถึง Edge UI จากนั้นระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยัง Edge UI
โดยกระบวนการมีดังต่อไปนี้
ในแผนภาพนี้
- ผู้ใช้พยายามเข้าถึง Edge UI ด้วยการส่งคำขอไปยังโดเมนการเข้าสู่ระบบสำหรับ Edge SSO ที่มีชื่อโซน เช่น
https://zonename.login.apigee.com
- ระบบจะเปลี่ยนเส้นทางคำขอที่ไม่ได้ตรวจสอบสิทธิ์ไปยัง
https://zonename.login.apigee.com
ไปยังผู้ให้บริการข้อมูลประจำตัว SAML ของลูกค้า เช่นhttps://idp.example.com
- หากลูกค้าไม่ได้เข้าสู่ระบบของผู้ให้บริการข้อมูลประจำตัว ระบบจะแจ้งให้ลูกค้าเข้าสู่ระบบ
- ผู้ใช้ผ่านการตรวจสอบสิทธิ์โดยผู้ให้บริการข้อมูลประจำตัว SAML ผู้ให้บริการข้อมูลประจำตัว SAML จะสร้างและแสดงผลการยืนยัน SAML 2.0 ไปยัง Edge SSO
- Edge SSO จะตรวจสอบการยืนยัน ดึงข้อมูลข้อมูลระบุตัวตนของผู้ใช้ออกจากการยืนยัน สร้างโทเค็นการตรวจสอบสิทธิ์ OAuth 2.0 สำหรับ Edge UI และเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Edge UI หลักดังนี้
https://zonename.apigee.com/platform/orgName
โดย orgName คือชื่อขององค์กร Edge
ดูเพิ่มเติมที่หัวข้อเข้าถึง Edge API ด้วย SAML