您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件。 資訊
SAML 可讓特定管理員委派使用單一登入 (SSO) 伺服器,控管所有機構成員在使用 Apigee Edge 時的驗證方式。將 SAML 與 Edge 搭配使用,除了您提供的任何其他服務以外,您還能透過 Edge 支援 Edge UI 和 API 的單一登入 (SSO) 服務。
如要為整合式入口網站啟用使用 SAML 的單一登入 (SSO),請參閱「設定 SAML 識別資訊提供者」。
瞭解 Edge 中的身分可用區管理
「識別資訊區域」是一種驗證範圍,用於定義用於驗證及使用者註冊和登入體驗的自訂識別資訊提供者。使用者必須透過識別資訊提供者進行驗證,才能存取限定於身分可用區的實體。
Apigee Edge 支援下表所述的驗證類型。
驗證類型 | 說明 |
預設 | 建立 Apigee Edge 帳戶,然後利用使用者名稱和密碼登入 Edge UI。透過 Edge API,您可以將相同的憑證與 HTTP 基本驗證搭配使用,藉此授權呼叫。 |
SAML | 安全性宣告標記語言 (SAML) 是單一登入 (SSO) 環境的標準通訊協定。有了 SAML 的單一登入 (SSO) 驗證服務,您就能使用現有憑證登入 Apigee Edge,而無須建立新帳戶。 |
如要支援 SAML 驗證,您必須建立新的身分識別區域,並設定 SAML 識別資訊提供者 (如「啟用 SAML」一文所述)。
SAML 驗證的優點
SAML 驗證提供許多優點,使用 SAML 時,您可以:
- 完全掌控使用者管理:將貴公司的 SAML 伺服器連結至 Edge。如果使用者離開貴機構並集中取消佈建,系統會自動拒絕他們存取 Edge。
- 控管使用者對 Edge 的驗證方式:為 Edge 機構選取不同的驗證類型。
- 控制驗證政策:您的 SAML 供應商可能支援更符合企業標準的驗證政策。
- 監控 Edge 部署作業的登入、登出、失敗的登入嘗試和高風險活動。
考量重點
決定使用 SAML 前,請考慮下列要求:
- 現有使用者:您必須將所有現有機構使用者新增至 SAML 識別資訊提供者。
- 入口網站:如果您使用的是 Drupal 開發人員入口網站,入口網站會使用 OAuth 存取 Edge,且可能需要經過重新設定才能使用。
- 系統會停用基本驗證:所有指令碼都必須將基本驗證替換為 OAuth。
- OAuth 和 SAML 必須分開保留:如果您同時使用 OAuth 2.0 和 SAML,您必須為 OAuth 2.0 流程和 SAML 流程使用不同的終端機工作階段。
SAML 如何與 Edge 搭配運作
SAML 規格定義了三個實體:
- 主體 (Edge UI 使用者)
- 服務供應商 (Edge SSO)
- 識別資訊提供者 (傳回 SAML 宣告)
啟用 SAML 後,主體 (Edge UI 使用者) 就會要求存取服務供應商 (Edge SSO)。Edge SSO (做為 SAML 服務供應商) 會要求並取得 SAML 識別資訊提供者的身分宣告,並使用該宣告建立存取 Edge UI 所需的 OAuth 2.0 權杖。接著,系統會將使用者重新導向至 Edge UI。
這項程序如下:
在這張圖表中:
- 使用者嘗試向 Edge SSO 的登入網域 (含有可用區名稱) 提出要求,藉此存取 Edge UI。例如:
https://zonename.login.apigee.com
- 未經驗證的
https://zonename.login.apigee.com
要求會重新導向至客戶的 SAML 識別資訊提供者。例如:https://idp.example.com
。 - 如果客戶未登入識別資訊提供者,系統會提示客戶登入。
- 已通過 SAML 識別資訊提供者驗證。SAML 識別資訊提供者會產生 SAML 2.0 宣告並傳回至 Edge SSO。
- Edge SSO 會驗證宣告、從斷言中擷取使用者身分、產生 Edge UI 的 OAuth 2.0 驗證權杖,並將使用者重新導向至位於以下網址的主要 Edge UI 頁面:
https://zonename.apigee.com/platform/orgName
其中 orgName 是 Edge 機構的名稱。
另請參閱透過 SAML 存取 Edge API。