查看 Apigee Edge 文档。
本页面介绍了如何使用第三方身份提供方通过员工身份联合访问 Apigee。借助员工身份联合,您可以使用外部身份提供方 (IdP) 对员工(用户群组,例如员工、合作伙伴和承包商)通过 Identity and Access Management (IAM) 进行身份验证和授权,以便访问 Apigee 服务。
您可以将员工身份联合与任何支持 OpenID Connect (OIDC) 或 SAML 2.0 的 IdP(如 Azure Active Directory [Azure AD]、Active Directory Federation Services [AD FS]、Okta 等)搭配使用。
使用员工身份联合的优势
我们了解到,许多 Apigee 客户已经在使用某种形式的单点登录 (SSO),允许员工使用现有的企业凭据登录。我们的许多客户还会维护身份管理系统。将用户身份从现有 IdP 同步到 Google Cloud 身份可能很困难且耗时。
借助员工身份联合,您无需将用户身份从现有 IdP 同步到 Google Cloud 身份,从而缩短 Apigee 初始配置时间并简化身份和安全流程。员工身份联合可在整个 Google Cloud 中使用,并提供一个控制点来管理对 Apigee 的访问权限。
支持的 Apigee 组织类型
您可以使用员工身份联合来访问和管理任何 Apigee 订阅或随用随付组织(包括已启用 Apigee Hybrid 的组织)中的资源。员工身份联合用户还可以创建和管理 Apigee 评估组织。
限制和注意事项
在将员工身份联合与 Apigee 搭配使用之前,请考虑以下所述限制。 身份联合:产品和限制文档中还介绍了 Apigee 对员工身份联合的支持。
在 Google Cloud 控制台中访问 Apigee
您可以使用员工身份联合通过 Cloud 控制台中的 Apigee 或 Apigee API 访问 Apigee 服务。
请注意,Apigee 员工身份联合用户无法使用经典版 Apigee 界面访问 Apigee 服务。员工身份联合用户无法直接登录经典版 Apigee 界面,也无法通过 Cloud 控制台中的 Apigee 访问经典版 Apigee 界面。
访问仅在经典版 Apigee 界面中提供的功能
某些 Apigee 功能仅在经典版 Apigee 界面中提供,无法使用员工身份联合访问。如需了解详情,请参阅在 Google Cloud 控制台中访问 Apigee。具体包括:
虽然这些功能在使用员工身份联合的“Cloud 控制台中的 Apigee”中不可用,但您可以使用 Apigee API 来访问这些功能。
预览功能
员工身份联合用户可能无法使用某些预览版 Apigee 功能。员工身份联合用户可以使用在“Cloud 控制台中的 Apigee”中可访问的所有正式版 (GA) 功能。
不支持的功能
对于员工身份联合用户,系统不支持以下 Apigee 功能:
- 员工身份联合用户无法使用 Cloud Code 和 Visual Studio Code (VS Code) IDE 在本地开发 Apigee API 和 API 代理。
- 对于使用 Apigee Hybrid 组织的员工身份联合用户,系统不支持 Apigee Connect API (
apigeeconnect.googleapis.com)。
以员工身份联合用户的身份使用 Cloud 控制台中的 Apigee
员工身份联合用户可以使用以下三种方法之一登录到 Apigee:
请让您的 Apigee 管理员确定您应使用哪种方法。
如需详细了解每种登录方法,请参阅设置用户对控制台(联合)的访问权限文档。
以员工身份联合用户的身份使用 Apigee API
您必须先从 Security Token Service (STS) 获取短期有效的令牌,然后才能以员工身份联合用户的身份访问 Apigee API。获得令牌后,您无需执行其他步骤即可访问 Apigee API。
如需了解详情,请参阅为员工身份联合获取短期有效的令牌。
以员工身份联合用户的身份使用 Google Cloud CLI
您必须先从 Security Token Service (STS) 获取短期有效的令牌,然后才能以员工身份联合用户的身份使用 Google Cloud CLI (gcloud CLI)。获得令牌后,您无需执行任何其他步骤即可使用 gcloud CLI 库。
如需了解详情,请参阅为员工身份联合获取短期有效的令牌。