查看
Apigee Edge 說明文件。
本頁面說明如何使用第三方身分識別資訊提供者,透過員工身分聯盟存取 Apigee。 透過員工身分聯盟,您可以使用外部識別資訊提供者 (IdP) 的服務驗證及授權工作團隊 (例如員工、合作夥伴與承包商) 存取 Apigee 服務,並使用身分與存取權管理 (IAM) 控管存取權。
您可以搭配使用員工身分聯盟與支援 OpenID Connect (OIDC) 或 SAML 2.0 的任何 IdP,例如 Azure Active Directory (Azure AD)、Active Directory Federation Services (AD FS) 和 Okta 等。
使用員工身分聯盟的好處
我們瞭解許多 Apigee 客戶已採用某種形式的單一登入 (SSO),讓員工使用現有的公司憑證登入。許多客戶也維護身分識別管理系統。 將現有 IdP 的使用者身分識別資訊同步至 Google Cloud 身分識別資訊可能相當困難且耗時。
使用員工身分聯盟可減少 Apigee 上線時間,並簡化身分和安全程序,因為您不必將現有 IdP 的使用者身分同步至 Google Cloud 身分。員工身分聯盟可跨 Google Cloud 使用,並提供單一控制點,方便您管理 Apigee 的存取權。
支援的 Apigee 組織類型
您可以使用員工身分聯盟,存取及管理任何 Apigee Subscription 或Pay-as-you-go機構中的資源,包括已啟用 Apigee Hybrid 的機構。員工身分聯盟使用者也可以建立及管理 Apigee 評估機構。
限制和注意事項
使用 Apigee 員工身分聯盟前,請先考量下列限制。 如要瞭解 Apigee 員工身分聯盟支援功能,請參閱「 身分聯盟:產品和限制」文件。
存取 Apigee UI
您可以使用 Workforce Identity Federation,透過 Apigee 使用者介面或 Apigee API 存取 Apigee 服務。
預先發布版功能
員工身分聯盟使用者可能無法使用預先發布版中的部分 Apigee 功能。員工身分聯盟使用者可存取 Apigee UI 中的所有正式發布 (GA) 功能。
不支援的功能
員工身分聯盟使用者無法使用下列 Apigee 功能:
- 員工身分聯盟使用者無法使用 Cloud Code 和 Visual Studio Code (VS Code) IDE,在本機開發 Apigee API 和 API 代理項目。
- 對於使用 Apigee Hybrid 機構的 Workforce Identity Federation 使用者,系統不支援 Apigee Connect API (
apigeeconnect.googleapis.com)。
以員工身分聯盟使用者身分使用 Apigee UI
員工身分聯盟使用者可以透過下列三種方法登入 Apigee:
請洽詢 Apigee 管理員,瞭解應使用哪種方法。
如要進一步瞭解各登入方法,請參閱「設定使用者存取控制台的權限 (已同盟)」說明文件。
以員工身分聯盟使用者身分使用 Apigee API
員工身分聯盟使用者必須先從安全權杖服務 (STS) 取得短期權杖,才能存取 Apigee API。取得符記後,您就能存取 Apigee API,無須執行其他步驟。
詳情請參閱「 取得員工身分聯盟的短期存取權杖」。
以員工身分聯盟使用者身分使用 Google Cloud CLI
如要以 Workforce Identity Federation 使用者身分使用 Google Cloud CLI (gcloud CLI),您必須先從 Security Token Service (STS) 取得短期權杖。取得權杖後,您就可以使用 gcloud CLI 程式庫,不必執行其他步驟。
詳情請參閱「 取得員工身分聯盟的短期存取權杖」。