Tổng quan về SAML

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến Tài liệu về Apigee X. thông tin

SAML cho phép các quản trị viên cụ thể kiểm soát cách xác thực tất cả thành viên của tổ chức khi sử dụng Apigee Edge bằng cách uỷ quyền cho một máy chủ đăng nhập một lần (SSO). Khi sử dụng SAML với Edge, bạn có thể hỗ trợ dịch vụ SSO cho Giao diện người dùng và API Edge, ngoài bất kỳ dịch vụ nào khác mà bạn cung cấp đồng thời cũng hỗ trợ SAML.

Để bật tính năng SSO bằng SAML cho cổng tích hợp, hãy xem phần Định cấu hình nhà cung cấp danh tính SAML.

Tìm hiểu về việc quản lý vùng nhận dạng trong Edge

Vùng nhận dạng là một vùng xác thực xác định các nhà cung cấp danh tính dùng để xác thực và cấu hình tuỳ chỉnh của trải nghiệm đăng ký và đăng nhập của người dùng. Chỉ khi người dùng xác thực với nhà cung cấp danh tính, họ mới có thể truy cập vào các thực thể nằm trong vùng danh tính.

Apigee Edge hỗ trợ các loại xác thực như mô tả trong bảng sau.

Loại xác thực Nội dung mô tả
Mặc định Tạo tài khoản Apigee Edge rồi đăng nhập vào giao diện người dùng Edge bằng tên người dùng và mật khẩu. Khi sử dụng API Edge, bạn cũng sẽ sử dụng chính thông tin xác thực đó với phương thức xác thực cơ bản HTTP để cho phép thực hiện các lệnh gọi.
SAML Ngôn ngữ đánh dấu khẳng định bảo mật (SAML) là giao thức tiêu chuẩn cho môi trường đăng nhập một lần (SSO). Phương thức xác thực đăng nhập một lần (SSO) bằng SAML giúp bạn đăng nhập vào Apigee Edge bằng thông tin đăng nhập hiện có mà không cần tạo tài khoản mới.

Để hỗ trợ xác thực SAML, bạn tạo vùng nhận dạng mới và định cấu hình nhà cung cấp danh tính SAML, như mô tả trong phần Bật SAML.

Ưu điểm của phương thức xác thực SAML

Quy trình xác thực SAML có một số lợi ích. Khi sử dụng SAML, bạn có thể:

  • Có toàn quyền kiểm soát tính năng quản lý người dùng: Kết nối máy chủ SAML của công ty với Edge. Khi người dùng rời khỏi tổ chức của bạn và bị huỷ cấp phép tập trung, thì họ sẽ tự động bị từ chối quyền truy cập vào Edge.
  • Kiểm soát cách người dùng xác thực để truy cập vào Edge: Chọn các loại xác thực khác nhau cho tổ chức của bạn trên Edge.
  • Kiểm soát chính sách xác thực: Nhà cung cấp dịch vụ SAML có thể hỗ trợ các chính sách xác thực phù hợp hơn với các tiêu chuẩn doanh nghiệp của bạn.
  • Giám sát hoạt động đăng nhập, đăng xuất, các lần đăng nhập không thành công và các hoạt động có rủi ro cao trong quá trình triển khai Edge.

Những yếu tố nên cân nhắc

Trước khi quyết định sử dụng SAML, bạn nên cân nhắc các yêu cầu sau:

  • Người dùng hiện tại: Bạn phải thêm tất cả người dùng hiện tại thuộc tổ chức vào SAML nhà cung cấp danh tính của bạn.
  • Cổng thông tin: Nếu bạn đang sử dụng cổng thông tin dành cho nhà phát triển dựa trên Drupal, thì cổng đó sẽ sử dụng OAuth để truy cập vào Edge và có thể cần phải định cấu hình lại thì mới dùng được.
  • Xác thực cơ bản sẽ bị tắt: Bạn cần phải thay thế Xác thực cơ bản bằng OAuth cho tất cả tập lệnh của bạn.
  • OAuth và SAML phải được tách biệt: Nếu sử dụng cả OAuth 2.0 và SAML, bạn phải sử dụng các phiên riêng biệt trong thiết bị đầu cuối cho quy trình OAuth 2.0 và quy trình SAML.

Cách SAML hoạt động với Edge

Thông số kỹ thuật SAML xác định 3 thực thể:

  • Người quản lý chính (Người dùng giao diện người dùng Edge)
  • Nhà cung cấp dịch vụ (Edge SSO)
  • Nhà cung cấp danh tính (trả về thông tin xác nhận SAML)

Khi SAML được bật, người chính (người dùng giao diện người dùng Edge) sẽ yêu cầu quyền truy cập vào nhà cung cấp dịch vụ (SSO cạnh tranh). SSO của Edge (trong vai trò là nhà cung cấp dịch vụ SAML) sau đó yêu cầu và nhận một xác nhận danh tính từ nhà cung cấp danh tính SAML và sử dụng câu nhận định đó để tạo OAuth 2.0 mã thông báo cần thiết để truy cập vào giao diện người dùng Edge. Sau đó, người dùng được chuyển hướng đến giao diện người dùng Edge.

Quy trình này được thể hiện dưới đây:

Trong sơ đồ này:

  1. Người dùng cố gắng truy cập vào giao diện người dùng của Edge bằng cách yêu cầu miền đăng nhập cho Edge SSO, bao gồm cả tên vùng. Ví dụ: https://zonename.login.apigee.com
  2. Yêu cầu chưa được xác thực đối với https://zonename.login.apigee.com được chuyển hướng đến nhà cung cấp danh tính SAML của khách hàng. Ví dụ: https://idp.example.com.
  3. Nếu chưa đăng nhập vào nhà cung cấp danh tính, khách hàng sẽ được nhắc đăng nhập trong năm
  4. Người dùng được nhà cung cấp danh tính SAML xác thực. Nhà cung cấp danh tính SAML tạo và trả về thông tin xác nhận SAML 2.0 cho SSO của Edge.
  5. SSO của cạnh xác thực câu nhận định, trích xuất danh tính người dùng từ nhận định, tạo mã xác thực OAuth 2.0 cho giao diện người dùng Edge và chuyển hướng người dùng đến giao diện người dùng chính của Edge trang lúc: 
    https://zonename.apigee.com/platform/orgName

    Trong đó orgName là tên của một tổ chức Edge.

Hãy xem thêm bài viết Truy cập Edge API bằng SAML.

Bắt đầu!

Xem cách bật SAML