您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件。
SAML 允許特定管理員透過委派單一登入 (SSO) 伺服器的方式,控管所有機構使用 Apigee Edge 時的驗證方式。您可以搭配 SAML 使用 Edge 來支援 Edge UI 和 API,搭配您提供的任何其他服務及支援 SAML。
如要透過 SAML 為整合式入口網站啟用單一登入 (SSO) 服務,請參閱「設定 SAML 識別資訊提供者」。
瞭解 Edge 中的區域管理
身分識別區域是一種驗證領域,用於定義使用者註冊和自訂體驗的識別資訊提供者和自訂設定。使用者必須透過識別資訊提供者進行驗證,才能存取位於身分識別區域的實體。
Apigee Edge 支援下表所述的驗證類型。
| 驗證類型 | Description |
| 預設 | 建立 Apigee Edge 帳戶,並使用使用者名稱和密碼登入 Edge UI。使用 Edge API 時,您就能將這些憑證和 HTTP 基本驗證搭配使用,以便授權呼叫。 |
| SAML | 安全宣告標記語言 (SAML) 是單一登入 (SSO) 環境的標準通訊協定。使用 SAML 的單一登入 (SSO) 服務可讓您使用現有憑證登入 Apigee Edge,而且不必建立新帳戶。 |
如要支援 SAML 驗證,您可以建立新的身分識別區域,設定 SAML 識別資訊提供者,詳情請參閱「啟用 SAML」一文。
SAML 驗證機制的優點
SAML 驗證有幾個優點。使用 SAML 即可:
- 全面管理使用者:將公司的 SAML 伺服器連線至 Edge。使用者從貴機構離職並取消佈建後,系統會自動拒絕他們存取 Edge。
- 控制使用者驗證 Edge 的方式:為您的 Edge 機構選取不同的驗證類型。
- 控制驗證政策:您的 SAML 提供者可能支援符合貴公司標準的驗證政策。
- 監控登入邊緣的登入、登出、嘗試登入失敗和高風險活動。
注意事項
決定使用 SAML 前,請先考量下列要求:
- 現有使用者:您必須將所有現有的機構使用者新增至 SAML 識別資訊提供者,
- 入口網站:如果您使用 Drupal 式開發人員入口網站,入口網站會使用 OAuth 來存取 Edge。您可能需要重新設定才能使用入口網站。
- 系統將停用基本驗證功能:您必須將所有指令碼的基本驗證功能換成 OAuth。
- OAuth 和 SAML 必須分開存放:如果您同時使用 OAuth 2.0 和 SAML,就必須分別針對 OAuth 2.0 流程和 SAML 流程使用不同的終端機工作階段。
SAML 與 Edge 搭配使用的方式
SAML 規格定義了三個實體:
- 主體 (邊緣使用者介面使用者)
- 服務供應商 (Edge SSO)
- 識別資訊提供者 (傳回 SAML 宣告)
啟用 SAML 後,主體 (EUI UI 使用者) 就會要求存取服務供應商 (Edge SSO)。接著, Edge SSO (及其角色為 SAML 服務供應商) 會要求及取得 SAML 識別資訊提供者的身分認證,然後使用該宣告來建立存取 Edge UI 所需的 OAuth 2.0 權杖。接著,系統會將使用者重新導向至 Edge UI。
流程如下:
下圖所示:
- 使用者嘗試向 Edge SSO 登入 (包括可用區名稱) 的登入網域,藉此存取 Edge UI。例如:
https://zonename.login.apigee.com - 未經驗證的
https://zonename.login.apigee.com要求會重新導向至客戶的 SAML 識別資訊提供者。例如:https://idp.example.com。 - 如未登入識別資訊提供者服務,系統會提示客戶登入。
- 使用者的 SAML 識別資訊提供者進行驗證。SAML 識別資訊提供者會產生 SAML 2.0 宣告並傳回至邊緣單一登入 (SSO) 服務。
- Edge SSO 會驗證斷言、從斷言中擷取使用者身分、產生 Edge UI 的 OAuth 2.0 驗證權杖,並將使用者重新導向至以下 Edge 使用者介面主頁面:
https://zonename.apigee.com/platform/orgName
其中 orgName 是 Edge 機構的名稱。
另請參閱透過 SAML 存取 Edge API。