SAML 總覽

您正在查看 Apigee Edge 說明文件。
前往 Apigee X說明文件
資訊

SAML 允許特定管理員控管所有機構成員的驗證方式 必須委派給單一登入 (SSO) 伺服器才能使用 Apigee Edge使用 SAML 搭配 Edge 即可支援單一登入 (SSO) 服務 除了您提供的任何其他服務,也支援 Edge UI 和 API 。

如要為整合式入口網站啟用 SAML 單一登入服務,請參閱「設定 SAML 身分識別提供者」。

瞭解 Edge 中的身分可用區管理

身分區是一種驗證領域,用於定義用於驗證的身分提供者,以及自訂使用者註冊和登入體驗的設定。只有在使用者向識別資訊提供者進行驗證時,他們才能存取限定於識別資訊區域的實體。

Apigee Edge 支援下表所述的驗證類型。

驗證類型 說明
預設 建立 Apigee Edge 帳戶,然後使用使用者名稱和密碼登入 Edge UI。使用 Edge API 時,您可以使用相同的憑證搭配 HTTP 基本驗證,授權呼叫。
SAML 安全性宣告標記語言 (SAML) 是單一登入 (SSO) 環境的標準通訊協定。使用 SAML 進行單一登入驗證後,您就能使用現有的憑證登入 Apigee Edge,不必建立新帳戶。

如要支援 SAML 驗證,請建立新的身分區域並設定 SAML 身分提供者,如「啟用 SAML」一文所述。

SAML 驗證的優點

SAML 驗證有幾項優點。使用 SAML 可以:

  • 完全掌控使用者管理:將貴公司的 SAML 伺服器連線至 Edge。使用者離開貴機構並由您集中停用權限後,系統會自動拒絕他們存取 Edge。
  • 控管使用者通過 Edge 的驗證方式:請為您的 Edge 機構選取不同的驗證類型。
  • 控制驗證政策:SAML 供應商可能會支援與貴企業標準更為一致的驗證政策。
  • 監控 Edge 部署中的登入、登出、登入失敗嘗試和高風險活動

注意事項

決定使用 SAML 前,請考量下列規定:

  • 現有使用者:您必須將所有現有的機構使用者新增至 SAML 識別資訊提供者。
  • Portal:如果您使用的是基於 Drupal 的開發人員入口網站,該入口網站會使用 OAuth 存取 Edge,因此可能需要重新設定,才能使用該入口網站。
  • 基本驗證功能將會停用:您必須為所有指令碼將基本驗證功能替換為 OAuth。
  • OAuth 和 SAML 必須分開保留:如果您同時使用 OAuth 2.0 和 SAML, 因此,您的 OAuth 2.0 流程和 SAML 流程必須分別使用不同的終端機工作階段。

SAML 與 Edge 的運作方式

SAML 規格定義了三個實體:

  • 主體 (Edge UI 使用者)
  • 服務供應商 (邊緣單一登入 (SSO))
  • 識別資訊提供者 (傳回 SAML 斷言)

SAML 啟用後,主體 (Edge UI 使用者) 會要求存取服務供應商 (Edge SSO)。Edge SSO (以 SAML 服務供應商的角色) 隨後會向 SAML 識別資訊提供者要求並取得識別資訊宣告,然後使用該宣告建立存取 Edge UI 所需的 OAuth 2.0 權杖。然後,系統會將使用者重新導向至 Edge UI。

這項程序如下所示:

在下圖中:

  1. 使用者嘗試向 Edge 的登入網域提出要求,嘗試存取 Edge UI 單一登入 (SSO),包括區域名稱。例如: https://zonename.login.apigee.com
  2. https://zonename.login.apigee.com 發出的未經驗證要求 已重新導向至客戶的 SAML 識別資訊提供者。例如:https://idp.example.com
  3. 如果客戶未登入識別資訊提供者,系統會提示客戶登入 。
  4. 使用者已通過 SAML 識別資訊提供者驗證。SAML 身分識別資訊提供者會產生 SAML 2.0 聲明,並將其傳回至 Edge SSO。
  5. Edge SSO 驗證斷言、從斷言中擷取使用者身分, Edge UI 的 OAuth 2.0 驗證權杖,並將使用者重新導向主要 UI 頁面:
    https://zonename.apigee.com/platform/orgName

    其中 orgName 是 Edge 機構的名稱。

另請參閱「使用 SAML 存取 Edge API」。

開始使用!

瞭解如何啟用 SAML