คุณกำลังดูเอกสารประกอบ Apigee Edge
ไปที่
เอกสารประกอบเกี่ยวกับ Apigee X. ข้อมูล
SAML อนุญาตให้ผู้ดูแลระบบเฉพาะควบคุมวิธีตรวจสอบสิทธิ์สมาชิกองค์กรทั้งหมด เมื่อใช้ Apigee Edge ด้วยการมอบสิทธิ์ไปยังเซิร์ฟเวอร์การลงชื่อเพียงครั้งเดียว (SSO) เมื่อใช้ SAML กับ Edge คุณจะรองรับ SSO ได้ สำหรับ Edge UI และ API นอกเหนือจากบริการ อื่นๆ ที่คุณจัดหาให้ และที่สนับสนุน SAML
หากต้องการเปิดใช้ SSO โดยใช้ SAML สำหรับพอร์ทัลที่ผสานรวม โปรดดูที่กำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML
ทำความเข้าใจการจัดการโซนข้อมูลประจำตัวใน Edge
โซนข้อมูลประจำตัวคือขอบเขตการตรวจสอบสิทธิ์ที่กำหนดผู้ให้บริการข้อมูลประจำตัวที่ใช้สำหรับการตรวจสอบสิทธิ์ ตลอดจนการกำหนดค่าที่กำหนดเองสำหรับการลงทะเบียนของผู้ใช้และประสบการณ์การลงชื่อเข้าใช้ เมื่อผู้ใช้ตรวจสอบสิทธิ์กับผู้ให้บริการข้อมูลประจำตัวเท่านั้นที่จะเข้าถึงเอนทิตีที่มีขอบเขตอยู่ในโซนข้อมูลประจำตัวได้
Apigee Edge รองรับประเภทการตรวจสอบสิทธิ์ที่อธิบายไว้ในตารางต่อไปนี้
| ประเภทการตรวจสอบสิทธิ์ | คำอธิบาย |
| ค่าเริ่มต้น | สร้างบัญชี Apigee Edge และลงชื่อเข้าใช้ Edge UI ด้วยชื่อผู้ใช้และรหัสผ่าน เมื่อใช้ Edge API คุณจะใช้ข้อมูลเข้าสู่ระบบเดียวกันกับการตรวจสอบสิทธิ์พื้นฐานของ HTTP เพื่อให้สิทธิ์การเรียกใช้ |
| SAML | ภาษามาร์กอัปการยืนยันความปลอดภัย (SAML) เป็นโปรโตคอลมาตรฐานสำหรับสภาพแวดล้อมการลงชื่อเพียงครั้งเดียว (SSO) การตรวจสอบสิทธิ์ SSO โดยใช้ SAML ช่วยให้คุณลงชื่อเข้าใช้ Apigee Edge โดยใช้ข้อมูลเข้าสู่ระบบที่มีอยู่โดยไม่ต้องสร้างบัญชีใหม่ |
หากต้องการรองรับการตรวจสอบสิทธิ์ SAML คุณต้องสร้างโซนข้อมูลประจำตัวใหม่และกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ตามที่อธิบายไว้ในส่วนเปิดใช้ SAML
ข้อดีของการตรวจสอบสิทธิ์ SAML
การตรวจสอบสิทธิ์ SAML มีข้อดีหลายอย่าง เมื่อใช้ SAML คุณจะทำสิ่งต่อไปนี้ได้
- ควบคุมการจัดการผู้ใช้ได้อย่างเต็มที่: เชื่อมต่อเซิร์ฟเวอร์ SAML ของบริษัทกับ Edge เมื่อผู้ใช้ออกจากองค์กร และถูกยกเลิกการจัดสรรจากส่วนกลาง บุคคลเหล่านี้จะถูกปฏิเสธไม่ให้เข้าถึง Edge โดยอัตโนมัติ
- ควบคุมวิธีตรวจสอบสิทธิ์ของผู้ใช้เพื่อเข้าถึง Edge: เลือกประเภทการตรวจสอบสิทธิ์อื่นสำหรับองค์กร Edge
- ควบคุมนโยบายการตรวจสอบสิทธิ์: ผู้ให้บริการ SAML อาจรองรับ นโยบายการตรวจสอบสิทธิ์ที่สอดคล้องกับมาตรฐานขององค์กรมากขึ้น
- ตรวจสอบการเข้าสู่ระบบ การออกจากระบบ ความพยายามเข้าสู่ระบบที่ไม่สำเร็จ และกิจกรรมที่มีความเสี่ยงสูง เกี่ยวกับการติดตั้งใช้งาน Edge
ข้อควรพิจารณา
ก่อนที่จะตัดสินใจใช้ SAML คุณควรคำนึงถึงข้อกำหนดต่อไปนี้
- ผู้ใช้ที่มีอยู่: คุณต้องเพิ่มผู้ใช้ทุกคนในองค์กรที่มีอยู่ไปยัง SAML ผู้ให้บริการข้อมูลประจำตัว
- พอร์ทัล: หากคุณใช้พอร์ทัลสำหรับนักพัฒนาซอฟต์แวร์ที่ใช้ Drupal พอร์ทัลจะใช้ OAuth เพื่อเข้าถึง Edge และอาจต้องกำหนดค่าใหม่ก่อนจึงจะใช้งานได้
- การตรวจสอบสิทธิ์พื้นฐานจะถูกปิดใช้: คุณจะต้องแทนที่การตรวจสอบสิทธิ์พื้นฐานด้วย OAuth สำหรับ สคริปต์ของคุณ
- ต้องเก็บ OAuth และ SAML แยกกัน: ถ้าคุณใช้ทั้ง OAuth 2.0 และ SAML ต้องใช้เซสชันเทอร์มินัลแยกกันสำหรับขั้นตอน OAuth 2.0 และขั้นตอน SAML
วิธีที่ SAML ทำงานกับ Edge
ข้อกำหนดของ SAML กำหนด 3 เอนทิตีดังนี้
- ผู้ใช้หลัก (ผู้ใช้ Edge UI)
- ผู้ให้บริการ (Edge SSO)
- ผู้ให้บริการข้อมูลประจำตัว (แสดงการยืนยันสิทธิ์ SAML)
เมื่อเปิดใช้ SAML ผู้ใช้หลัก (ผู้ใช้ Edge UI) จะขอสิทธิ์เข้าถึงผู้ให้บริการ (Edge SSO) Edge SSO (ในบทบาทผู้ให้บริการ SAML) จะส่งคำขอและรับ การยืนยันข้อมูลประจำตัวจากผู้ให้บริการข้อมูลประจำตัว SAML และใช้การยืนยันดังกล่าวเพื่อสร้าง OAuth 2.0 ต้องใช้โทเค็นเพื่อเข้าถึง Edge UI จากนั้นระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยัง Edge UI
โดยกระบวนการมีดังนี้
ในแผนภาพนี้
- ผู้ใช้พยายามเข้าถึง Edge UI โดยการส่งคำขอไปยังโดเมนการเข้าสู่ระบบสำหรับ Edge
SSO ซึ่งมีชื่อโซน ตัวอย่างเช่น
https://zonename.login.apigee.com - คำขอไปยัง
https://zonename.login.apigee.comที่ไม่ได้ตรวจสอบสิทธิ์ ระบบจะเปลี่ยนเส้นทางไปยังผู้ให้บริการข้อมูลประจำตัว SAML ของลูกค้า ตัวอย่างเช่นhttps://idp.example.com - หากลูกค้าไม่ได้เข้าสู่ระบบผู้ให้บริการข้อมูลประจำตัว ระบบจะแจ้งให้ลูกค้าบันทึก นิ้ว
- ผู้ใช้ผ่านการตรวจสอบสิทธิ์โดยผู้ให้บริการข้อมูลประจำตัว SAML ผู้ให้บริการข้อมูลประจำตัว SAML สร้างและส่งการยืนยัน SAML 2.0 กลับไปยัง Edge SSO
- Edge SSO จะตรวจสอบการยืนยัน ดึงข้อมูลตัวตนของผู้ใช้จากการยืนยัน สร้าง
โทเค็นการตรวจสอบสิทธิ์ OAuth 2.0 สำหรับ Edge UI และเปลี่ยนเส้นทางผู้ใช้ไปยัง Edge UI หลัก
หน้าเว็บที่:
https://zonename.apigee.com/platform/orgName
โดยที่ orgName คือชื่อขององค์กร Edge
โปรดดูเพิ่มเติมที่เข้าถึง Edge API ด้วย SAML