Tổng quan về SAML

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X.
thông tin

SAML cho phép quản trị viên cụ thể kiểm soát cách tất cả thành viên của tổ chức xác thực khi sử dụng Apigee Edge bằng cách uỷ quyền cho một máy chủ đăng nhập một lần (SSO). Khi sử dụng SAML với Edge, bạn có thể hỗ trợ tính năng SSO cho giao diện người dùng và API của Edge, ngoài những dịch vụ khác mà bạn cung cấp và cũng hỗ trợ SAML.

Để bật tính năng SSO bằng SAML cho cổng thông tin tích hợp, hãy xem phần Định cấu hình nhà cung cấp danh tính SAML.

Tìm hiểu về việc quản lý vùng nhận dạng trong Edge

Vùng nhận dạng là một vùng xác thực xác định nhà cung cấp danh tính dùng để xác thực và cấu hình tuỳ chỉnh trong trải nghiệm đăng ký và đăng nhập của người dùng. Chỉ khi người dùng xác thực với nhà cung cấp danh tính, họ mới có thể truy cập vào các thực thể trong phạm vi của vùng nhận dạng đó.

Apigee Edge hỗ trợ các phương thức xác thực được mô tả trong bảng sau.

Loại xác thực Mô tả
Mặc định Tạo tài khoản Apigee Edge rồi đăng nhập vào giao diện người dùng Edge bằng tên người dùng và mật khẩu. Khi sử dụng Edge API, bạn sử dụng chính thông tin đăng nhập đó với phương thức xác thực HTTP cơ bản để cho phép các lệnh gọi.
SAML Ngôn ngữ đánh dấu xác nhận bảo mật (SAML) là một giao thức chuẩn cho môi trường đăng nhập một lần (SSO). Tính năng xác thực SSO bằng SAML cho phép bạn đăng nhập vào Apigee Edge bằng thông tin xác thực hiện có mà không cần tạo tài khoản mới.

Để hỗ trợ xác thực SAML, bạn cần tạo vùng nhận dạng mới và định cấu hình nhà cung cấp danh tính SAML, như mô tả trong phần Bật SAML.

Ưu điểm của phương thức xác thực SAML

Việc xác thực SAML mang lại một số lợi thế. Khi sử dụng SAML, bạn có thể:

  • Có toàn quyền kiểm soát hoạt động quản lý người dùng: Kết nối máy chủ SAML của công ty bạn với Edge. Khi người dùng rời khỏi tổ chức của bạn và bị huỷ cấp phép tập trung, họ sẽ tự động bị từ chối quyền truy cập vào Edge.
  • Kiểm soát cách người dùng xác thực để truy cập vào Edge: Chọn các phương thức xác thực khác nhau cho các tổ chức của bạn trong Edge.
  • Kiểm soát chính sách xác thực: Nhà cung cấp SAML có thể hỗ trợ những chính sách xác thực phù hợp hơn với các tiêu chuẩn doanh nghiệp của bạn.
  • Giám sát hoạt động đăng nhập, đăng xuất, đăng nhập không thành công và các hoạt động có rủi ro cao trong quá trình triển khai Edge.

Những yếu tố nên cân nhắc

Trước khi quyết định sử dụng SAML, bạn nên xem xét các yêu cầu sau:

  • Người dùng hiện tại: Bạn phải thêm tất cả người dùng hiện tại của tổ chức vào nhà cung cấp danh tính SAML.
  • Cổng: Nếu bạn đang sử dụng cổng thông tin dành cho nhà phát triển dựa trên Drupal, thì cổng thông tin sẽ sử dụng OAuth để truy cập vào Edge và có thể cần phải định cấu hình lại trước khi bạn có thể sử dụng.
  • Tính năng Xác thực cơ bản sẽ bị tắt: Bạn cần thay thế tính năng Xác thực cơ bản bằng OAuth cho tất cả tập lệnh của mình.
  • OAuth và SAML phải được tách biệt: Nếu sử dụng cả OAuth 2.0 và SAML, bạn phải sử dụng các phiên thiết bị đầu cuối riêng biệt cho quy trình OAuth 2.0 và quy trình SAML.

Cách SAML hoạt động với Edge

Thông số kỹ thuật của SAML xác định 3 thực thể:

  • Chính (Người dùng giao diện người dùng Edge)
  • Nhà cung cấp dịch vụ (Edge SSO)
  • Nhà cung cấp danh tính (trả về câu nhận định SAML)

Khi bạn bật SAML, người dùng chính (người dùng giao diện người dùng Edge) sẽ yêu cầu quyền truy cập vào nhà cung cấp dịch vụ (Edge SSO). Dịch vụ SSO của Edge (với vai trò là nhà cung cấp dịch vụ SAML) sau đó yêu cầu và nhận thông tin xác nhận danh tính từ nhà cung cấp danh tính SAML, đồng thời sử dụng câu nhận định đó để tạo mã thông báo OAuth 2.0 cần thiết để truy cập vào giao diện người dùng Edge. Sau đó, người dùng được chuyển hướng đến giao diện người dùng của Edge.

Quá trình này được hiển thị dưới đây:

Trong sơ đồ này:

  1. Người dùng cố gắng truy cập vào giao diện người dùng Edge bằng cách đưa ra yêu cầu tới miền đăng nhập cho tính năng SSO của Edge, trong đó có tên vùng. Ví dụ: https://zonename.login.apigee.com
  2. Các yêu cầu chưa được xác thực đến https://zonename.login.apigee.com sẽ được chuyển hướng đến nhà cung cấp danh tính SAML của khách hàng. Ví dụ: https://idp.example.com
  3. Nếu chưa đăng nhập vào nhà cung cấp danh tính, thì khách hàng sẽ được nhắc đăng nhập.
  4. Người dùng được nhà cung cấp danh tính SAML xác thực. Nhà cung cấp danh tính SAML sẽ tạo và trả về câu nhận định SAML 2.0 cho tính năng SSO của Edge.
  5. Tính năng SSO của Edge xác thực câu nhận định, trích xuất danh tính người dùng từ câu nhận định, tạo mã xác thực OAuth 2.0 cho giao diện người dùng Edge và chuyển hướng người dùng đến trang Giao diện người dùng Edge chính tại:
    https://zonename.apigee.com/platform/orgName

    Trong đó orgName là tên của một tổ chức Edge.

Hãy xem thêm bài viết Truy cập vào API Edge bằng SAML.

Bắt đầu!

Xem cách bật SAML