ภาพรวม SAML

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X
ข้อมูล

SAML ช่วยให้ผู้ดูแลระบบบางรายควบคุมวิธีที่สมาชิกองค์กรทุกคนตรวจสอบสิทธิ์ได้เมื่อใช้ Apigee Edge เช่นกันโดยมอบสิทธิ์ไปยังเซิร์ฟเวอร์การลงชื่อเพียงครั้งเดียว (SSO) การใช้ SAML กับ Edge ช่วยให้คุณรองรับ SSO สำหรับ Edge UI และ API นอกเหนือจากบริการอื่นๆ ที่มีและรองรับ SAML ด้วยเช่นกัน

หากต้องการเปิดใช้ SSO โดยใช้ SAML สำหรับพอร์ทัลที่ผสานรวม โปรดดูกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML

ทำความเข้าใจการจัดการโซนข้อมูลประจำตัวใน Edge

โซนข้อมูลประจำตัวคือขอบเขตการตรวจสอบสิทธิ์ที่กำหนดผู้ให้บริการข้อมูลประจำตัวที่ใช้สำหรับการตรวจสอบสิทธิ์ และการกำหนดค่าที่กำหนดเองของการลงทะเบียนผู้ใช้และประสบการณ์การลงชื่อเข้าใช้ เมื่อผู้ใช้ตรวจสอบสิทธิ์กับผู้ให้บริการข้อมูลประจำตัวแล้ว ผู้ใช้จะเข้าถึงเอนทิตีที่กำหนดขอบเขตไปที่โซนข้อมูลระบุตัวตนได้

Apigee Edge รองรับประเภทการตรวจสอบสิทธิ์ตามที่อธิบายไว้ในตารางต่อไปนี้

ประเภทการตรวจสอบสิทธิ์ คำอธิบาย
ค่าเริ่มต้น สร้างบัญชี Apigee Edge และลงชื่อเข้าใช้ Edge UI ด้วยชื่อผู้ใช้และรหัสผ่าน เมื่อใช้ Edge API คุณจะใช้ข้อมูลเข้าสู่ระบบเดียวกันกับการตรวจสอบสิทธิ์พื้นฐานของ HTTP เพื่อให้สิทธิ์การเรียกใช้ได้
SAML ภาษามาร์กอัปเพื่อยืนยันความปลอดภัย (SAML) เป็นโปรโตคอลมาตรฐานสำหรับสภาพแวดล้อมการลงชื่อเพียงครั้งเดียว (SSO) การตรวจสอบสิทธิ์ SSO โดยใช้ SAML ช่วยให้คุณลงชื่อเข้าใช้ Apigee Edge ได้โดยใช้ข้อมูลเข้าสู่ระบบที่มีอยู่โดยไม่ต้องสร้างบัญชีใหม่

หากต้องการรองรับการตรวจสอบสิทธิ์ SAML คุณต้องสร้างโซนข้อมูลประจำตัวใหม่และกำหนดค่าผู้ให้บริการข้อมูลประจำตัว SAML ตามที่อธิบายไว้ในเปิดใช้ SAML

ข้อดีของการตรวจสอบสิทธิ์ SAML

การตรวจสอบสิทธิ์ด้วย SAML มีข้อดีมากมาย เมื่อใช้ SAML คุณจะทำสิ่งต่อไปนี้ได้

  • ควบคุมการจัดการผู้ใช้ได้อย่างเต็มที่: เชื่อมต่อเซิร์ฟเวอร์ SAML ของบริษัทกับ Edge เมื่อผู้ใช้ออกจากองค์กรและยกเลิกการจัดสรรจากส่วนกลาง ผู้ใช้ดังกล่าวจะถูกปฏิเสธการเข้าถึง Edge โดยอัตโนมัติ
  • ควบคุมวิธีที่ผู้ใช้ตรวจสอบสิทธิ์เพื่อเข้าถึง Edge: เลือกประเภทการตรวจสอบสิทธิ์ที่แตกต่างกันสำหรับองค์กร Edge
  • ควบคุมนโยบายการตรวจสอบสิทธิ์: ผู้ให้บริการ SAML อาจรองรับนโยบายการตรวจสอบสิทธิ์ที่สอดคล้องกับมาตรฐานขององค์กรมากกว่า
  • ตรวจสอบการเข้าสู่ระบบ การออกจากระบบ การพยายามเข้าสู่ระบบที่ไม่สำเร็จ และกิจกรรมที่มีความเสี่ยงสูงในการติดตั้งใช้งาน Edge

ข้อควรพิจารณา

ก่อนตัดสินใจใช้ SAML คุณควรพิจารณาข้อกำหนดต่อไปนี้

  • ผู้ใช้ที่มีอยู่: คุณต้องเพิ่มผู้ใช้ขององค์กรที่มีอยู่ทั้งหมดลงในผู้ให้บริการข้อมูลประจำตัว SAML
  • พอร์ทัล: หากคุณใช้พอร์ทัลสำหรับนักพัฒนาซอฟต์แวร์ที่ใช้ Drupal พอร์ทัลจะใช้ OAuth เพื่อเข้าถึง Edge และอาจต้องกำหนดค่าใหม่ก่อนจึงจะใช้งานได้
  • การตรวจสอบสิทธิ์พื้นฐานจะถูกปิดใช้: คุณจะต้องแทนที่การตรวจสอบสิทธิ์พื้นฐานด้วย OAuth สำหรับสคริปต์ทั้งหมด
  • ต้องเก็บ OAuth และ SAML แยกกัน: หากใช้ทั้ง OAuth 2.0 และ SAML คุณต้องใช้เซสชันเทอร์มินัลแยกกันสำหรับขั้นตอน OAuth 2.0 และขั้นตอน SAML

วิธีที่ SAML ทำงานร่วมกับ Edge

ข้อกำหนดของ SAML ระบุเอนทิตี 3 รายการดังนี้

  • ผู้ใช้หลัก (ผู้ใช้ Edge UI)
  • ผู้ให้บริการ (Edge SSO)
  • Identity Provider (ส่งคืนการยืนยัน SAML)

เมื่อเปิดใช้ SAML ผู้ใช้หลัก (ผู้ใช้ Edge UI) จะขอสิทธิ์เข้าถึงผู้ให้บริการ (Edge SSO) Edge SSO (ในบทบาทเป็นผู้ให้บริการ SAML) จะส่งคำขอและรับการยืนยันข้อมูลประจำตัวจากผู้ให้บริการข้อมูลประจำตัว SAML และใช้การยืนยันดังกล่าวในการสร้างโทเค็น OAuth 2.0 ที่จำเป็นต่อการเข้าถึง Edge UI จากนั้นระบบจะเปลี่ยนเส้นทางผู้ใช้ไปยัง Edge UI

โดยกระบวนการมีดังต่อไปนี้

ในแผนภาพนี้

  1. ผู้ใช้พยายามเข้าถึง Edge UI ด้วยการส่งคำขอไปยังโดเมนการเข้าสู่ระบบสำหรับ Edge SSO ที่มีชื่อโซน เช่น https://zonename.login.apigee.com
  2. ระบบจะเปลี่ยนเส้นทางคำขอที่ไม่ได้ตรวจสอบสิทธิ์ไปยัง https://zonename.login.apigee.com ไปยังผู้ให้บริการข้อมูลประจำตัว SAML ของลูกค้า เช่น https://idp.example.com
  3. หากลูกค้าไม่ได้เข้าสู่ระบบของผู้ให้บริการข้อมูลประจำตัว ระบบจะแจ้งให้ลูกค้าเข้าสู่ระบบ
  4. ผู้ใช้ผ่านการตรวจสอบสิทธิ์โดยผู้ให้บริการข้อมูลประจำตัว SAML ผู้ให้บริการข้อมูลประจำตัว SAML จะสร้างและแสดงผลการยืนยัน SAML 2.0 ไปยัง Edge SSO
  5. Edge SSO จะตรวจสอบการยืนยัน ดึงข้อมูลข้อมูลระบุตัวตนของผู้ใช้ออกจากการยืนยัน สร้างโทเค็นการตรวจสอบสิทธิ์ OAuth 2.0 สำหรับ Edge UI และเปลี่ยนเส้นทางผู้ใช้ไปยังหน้า Edge UI หลักดังนี้
    https://zonename.apigee.com/platform/orgName

    โดย orgName คือชื่อขององค์กร Edge

ดูเพิ่มเติมที่หัวข้อเข้าถึง Edge API ด้วย SAML

เริ่มต้นใช้งาน

ดูวิธีเปิดใช้ SAML