本頁面由 Cloud Translation API 翻譯而成。

使用 Workforce Identity 聯盟存取 Apigee

查看 Apigee Edge 說明文件。

本頁面說明如何使用第三方身分識別資訊提供者，透過員工身分聯盟存取 Apigee。員工身分聯盟可讓您使用外部識別資訊提供者 (IdP) 驗證工作團隊 (例如員工、合作夥伴和承包商等使用者群組) 身分，並授權他們透過身分與存取權管理 (IAM) 存取 Apigee 服務。

您可以搭配使用員工身分聯盟與支援 OpenID Connect (OIDC) 或 SAML 2.0 的任何 IdP，例如 Azure Active Directory (Azure AD)、Active Directory 同盟服務 (AD FS) 和 Okta 等。

使用員工身分聯盟的好處

我們瞭解許多 Apigee 客戶已採用某種形式的單一登入 (SSO)，讓員工使用現有的公司憑證登入。許多客戶也維護身分識別管理系統。將現有 IdP 的使用者身分同步至 Google Cloud 身分可能相當困難且耗時。

使用員工身分聯盟可減少 Apigee 上線時間，並簡化身分和安全程序，因為您不必將現有 IdP 的使用者身分同步至 Google Cloud 身分。員工身分聯盟可跨 Google Cloud 使用，並提供單一控制點，方便您管理 Apigee 的存取權。

您可以使用 Workforce Identity Federation，存取及管理任何 Apigee Subscription 或Pay-as-you-go機構中的資源，包括已啟用 Apigee Hybrid 的機構。員工身分聯盟使用者也可以建立及管理 Apigee 評估機構。

將員工身分聯盟與 Apigee 搭配使用前，請先考量下列限制。身分聯盟：產品和限制說明文件也介紹了 Apigee 對員工身分聯盟的支援。

您可以使用 Workforce Identity Federation，透過 Cloud 控制台中的 Apigee 或 Apigee API 存取 Apigee 服務。

請注意，Apigee 員工身分聯盟使用者無法使用傳統版 Apigee UI 存取 Apigee 服務。員工身分聯盟使用者無法直接登入 Apigee 傳統版 UI，也無法從 Cloud Console 中的 Apigee 存取 Apigee 傳統版 UI。

部分 Apigee 功能僅適用於傳統版 Apigee UI，無法透過員工身分聯盟存取。詳情請參閱「在 Google Cloud 控制台中存取 Apigee」。這些功能包括：

雖然員工身分聯盟無法在 Apigee in Cloud 控制台使用這些功能，但您可以透過 Apigee API 存取這些功能。

員工身分聯盟使用者可能無法使用預先發布版中的部分 Apigee 功能。員工身分聯盟使用者可存取 Apigee in Cloud 控制台中的所有正式發行 (GA) 功能。

員工身分聯盟使用者無法使用下列 Apigee 功能：

員工身分聯盟使用者無法使用 Cloud Code 和 Visual Studio Code (VS Code) IDE，在本機開發 Apigee API 和 API 代理項目。
對於使用 Apigee Hybrid 機構的 Workforce Identity Federation 使用者，系統不支援 Apigee Connect API (apigeeconnect.googleapis.com)。

員工身分聯盟使用者可以透過下列三種方法登入 Apigee：

請洽詢 Apigee 管理員，瞭解應使用哪種方法。

如要進一步瞭解各個登入方法，請參閱「設定使用者存取控制台的權限 (已同盟)」說明文件。

員工身分聯盟使用者必須先從安全權杖服務 (STS) 取得短期權杖，才能存取 Apigee API。取得符記後，您就能存取 Apigee API，無須執行其他步驟。

如要以員工身分聯盟使用者身分使用 Google Cloud CLI (gcloud CLI)，必須先從安全權杖服務 (STS) 取得短期權杖。取得權杖後，您就能使用 gcloud CLI 程式庫，不必執行其他步驟。