SAML 總覽

您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件
資訊

SAML 可讓特定管理員委派使用單一登入 (SSO) 伺服器,控管所有機構成員在使用 Apigee Edge 時的驗證方式。將 SAML 與 Edge 搭配使用,除了您提供的任何其他服務以外,您還能透過 Edge 支援 Edge UI 和 API 的單一登入 (SSO) 服務。

如要為整合式入口網站啟用使用 SAML 的單一登入 (SSO),請參閱「設定 SAML 識別資訊提供者」。

瞭解 Edge 中的身分可用區管理

「識別資訊區域」是一種驗證範圍,用於定義用於驗證及使用者註冊和登入體驗的自訂識別資訊提供者。使用者必須透過識別資訊提供者進行驗證,才能存取限定於身分可用區的實體。

Apigee Edge 支援下表所述的驗證類型。

驗證類型 說明
預設 建立 Apigee Edge 帳戶,然後利用使用者名稱和密碼登入 Edge UI。透過 Edge API,您可以將相同的憑證與 HTTP 基本驗證搭配使用,藉此授權呼叫。
SAML 安全性宣告標記語言 (SAML) 是單一登入 (SSO) 環境的標準通訊協定。有了 SAML 的單一登入 (SSO) 驗證服務,您就能使用現有憑證登入 Apigee Edge,而無須建立新帳戶。

如要支援 SAML 驗證,您必須建立新的身分識別區域,並設定 SAML 識別資訊提供者 (如「啟用 SAML」一文所述)。

SAML 驗證的優點

SAML 驗證提供許多優點,使用 SAML 時,您可以:

  • 完全掌控使用者管理:將貴公司的 SAML 伺服器連結至 Edge。如果使用者離開貴機構並集中取消佈建,系統會自動拒絕他們存取 Edge。
  • 控管使用者對 Edge 的驗證方式:為 Edge 機構選取不同的驗證類型。
  • 控制驗證政策:您的 SAML 供應商可能支援更符合企業標準的驗證政策。
  • 監控 Edge 部署作業的登入、登出、失敗的登入嘗試和高風險活動

考量重點

決定使用 SAML 前,請考慮下列要求:

  • 現有使用者:您必須將所有現有機構使用者新增至 SAML 識別資訊提供者。
  • 入口網站:如果您使用的是 Drupal 開發人員入口網站,入口網站會使用 OAuth 存取 Edge,且可能需要經過重新設定才能使用。
  • 系統會停用基本驗證:所有指令碼都必須將基本驗證替換為 OAuth。
  • OAuth 和 SAML 必須分開保留:如果您同時使用 OAuth 2.0 和 SAML,您必須為 OAuth 2.0 流程和 SAML 流程使用不同的終端機工作階段。

SAML 如何與 Edge 搭配運作

SAML 規格定義了三個實體:

  • 主體 (Edge UI 使用者)
  • 服務供應商 (Edge SSO)
  • 識別資訊提供者 (傳回 SAML 宣告)

啟用 SAML 後,主體 (Edge UI 使用者) 就會要求存取服務供應商 (Edge SSO)。Edge SSO (做為 SAML 服務供應商) 會要求並取得 SAML 識別資訊提供者的身分宣告,並使用該宣告建立存取 Edge UI 所需的 OAuth 2.0 權杖。接著,系統會將使用者重新導向至 Edge UI。

這項程序如下:

在這張圖表中:

  1. 使用者嘗試向 Edge SSO 的登入網域 (含有可用區名稱) 提出要求,藉此存取 Edge UI。例如:https://zonename.login.apigee.com
  2. 未經驗證的 https://zonename.login.apigee.com 要求會重新導向至客戶的 SAML 識別資訊提供者。例如:https://idp.example.com
  3. 如果客戶未登入識別資訊提供者,系統會提示客戶登入。
  4. 已通過 SAML 識別資訊提供者驗證。SAML 識別資訊提供者會產生 SAML 2.0 宣告並傳回至 Edge SSO。
  5. Edge SSO 會驗證宣告、從斷言中擷取使用者身分、產生 Edge UI 的 OAuth 2.0 驗證權杖,並將使用者重新導向至位於以下網址的主要 Edge UI 頁面:
    https://zonename.apigee.com/platform/orgName

    其中 orgName 是 Edge 機構的名稱。

另請參閱透過 SAML 存取 Edge API

開始使用!

瞭解如何啟用 SAML