Política de LDAP

Estás viendo la documentación de Apigee Edge.
Ir a la documentación de Apigee X. info

Qué

La política de LDAP proporciona lo siguiente:

  • Autenticación: Las credenciales de usuario proporcionadas en la solicitud se validan con las credenciales del proveedor de LDAP. La política de LDAP te brinda mucha flexibilidad con la autenticación, ya que te permite usar cualquier valor de DN junto con la contraseña, incluso si ese valor de DN que deseas no está en la solicitud. Por ejemplo, supongamos que necesitas usar el correo electrónico y la contraseña para la autenticación. Las siguientes opciones son posibles:
    • Si el correo electrónico está en la solicitud, puedes usarlo con la contraseña para la autenticación de LDAP.
    • Si el correo electrónico no está en la solicitud, pero sí otro atributo de DN (como el número de teléfono), puedes usar el número de teléfono para obtener el correo electrónico correspondiente de LDAP y, luego, usar el correo electrónico o la contraseña para autenticarte.
  • Búsqueda de nombres distintivos (DN): Además de la autenticación, también puedes usar la política de LDAP para identificar un atributo del usuario en la solicitud, como el correo electrónico, y realizar una consulta que recupere otros atributos de DN de LDAP para ese usuario. El DN recuperado se almacena en una variable.

Usa la política de LDAP cuando el acceso a los recursos protegidos deba limitarse a los usuarios de tu proveedor de LDAP (como los usuarios administradores, los usuarios de la organización y los desarrolladores), en especial cuando el acceso con token de OAuth sea innecesario o demasiado pesado. La política también está diseñada para recuperar metadatos de nombres de dominio para su uso en flujos de proxies de API.

Por ejemplo, puedes hacer que una llamada a la API se ejecute solo cuando un usuario se autentique correctamente en LDAP y, luego, recuperar de forma opcional los atributos de DN (nombre de dominio) para el usuario después de que la autenticación se realice correctamente.

Para obtener información adicional, consulta:

Ejemplos

Autenticación con nombre de usuario y contraseña

<Ldap name="4GLdapPolicy">
   <LdapResource>ldap1</LdapResource>
   <Authentication>
       <UserName ref="request.header.username"/>
       <Password ref="request.header.password"/>
       <Scope>subtree</Scope>
       <BaseDN ref="apigee.baseDN"></BaseDN> <!-- default is dc=apigee,dc=com -->
    </Authentication>
 </Ldap>

En esta muestra, se proporciona autenticación en un proveedor de LDAP. La política pasa el nombre de usuario y la contraseña de la solicitud a LDAP para la autenticación.

Autenticación del atributo DN

<Ldap name="LdapPolicy">
   <LdapResource>ldap1</LdapResource>
   <Authentication>
       <Password ref="request.header.password"/>
       <SearchQuery>mail={request.header.mail}</SearchQuery>
       <Scope>subtree</Scope>
       <BaseDN ref="apigee.baseDN"></BaseDN> <!-- default is dc=apigee,dc=com -->
    </Authentication>
 </Ldap>

Esta política obtiene el DN del usuario con el correo electrónico en el encabezado de la solicitud y, luego, autentica al usuario en LDAP con la contraseña proporcionada en el encabezado de la solicitud.

Cómo buscar en LDAP

<Ldap name="LdapPolicy">
    <!-- using a custom LDAP provider -->
    <LdapConnectorClass>com.custom.ldap.MyProvider</LdapConnectorClass>
    <LdapResource>MyLdap</LdapResource>
    <Search>
        <BaseDN ref="apigee.baseDN"></BaseDN> <!-- default is dc=apigee,dc=com -->
        <SearchQuery>mail={request.header.mail}</SearchQuery>
        <Attributes>
            <Attribute>address</Attribute>
            <Attribute>phone</Attribute>
            <Attribute>title</Attribute>
        </Attributes>
        <Scope></Scope> <!-- default is subtree -->
    </Search>
</Ldap>

Esta política hace referencia a un proveedor de LDAP personalizado. Usa la dirección de correo electrónico en el encabezado de la solicitud para identificar al usuario y, luego, recupera la dirección, el teléfono y el título del usuario desde LDAP. Los atributos del DN recuperados se almacenan en una variable. Consulta "Variables específicas de la política".

Para buscar en LDAP y recuperar atributos de DN, la solicitud debe incluir credenciales de administrador.

Referencia del elemento

A continuación, se incluyen descripciones de los elementos y atributos de la política de LDAP.

Elemento

Description

Ldap

Elemento principal con un atributo de nombre para que ingreses el nombre de la política.

LdapConnectorClass

Cuando uses la política de LDAP con un proveedor de LDAP personalizado (no proporcionado por Apigee), especifica la clase del conector LDAP completamente calificada. Esa es la clase en la que implementaste la interfaz ExternalLdapConProvider de Apigee.

LdapResource

Ingresa el nombre del entorno del recurso LDAP. Consulta Cómo crear un recurso LDAP para obtener más información.

BaseDN

Es el nivel base de LDAP en el que existen todos tus datos. Por ejemplo, en el proveedor de LDAP de Apigee, todos los datos se encuentran en dc=apigee,dc=com.

  • ref: Se usa para especificar una variable de flujo que contiene el valor de BaseDN, como apigee.baseDN. ref tiene prioridad sobre un valor de BaseDN explícito. Si especificas tanto la referencia como el valor, la referencia tiene prioridad. Si la referencia no se resuelve en el entorno de ejecución, se usa el valor.

Scope
  • object: La autenticación o la búsqueda solo se producen en el nivel base de LDAP.
  • onelevel: La autenticación o la búsqueda se producen un nivel por debajo del nivel base.
  • subtree (predeterminado): La autenticación o la búsqueda se producen en el nivel base y de forma completamente recursiva por debajo de la base.

Autenticación

Authentication

Es el elemento principal del comportamiento de autenticación que implementas.

UserName

Elemento vacío que toma uno de los siguientes atributos:

  • ref: Es una referencia al nombre de usuario en la solicitud, como request.header.username
  • value: Es el nombre de usuario en sí.

Si no te autenticas con un nombre de usuario o si este no se incluye en la solicitud, no es necesario que incluyas este elemento.

Si el nombre de usuario está en la solicitud, pero deseas autenticar a un usuario con un atributo de DN que no sea el nombre de usuario, como el correo electrónico, incluye un SearchQuery para obtener el correo electrónico del usuario asociado a la contraseña. La política de LDAP usa el nombre de usuario para consultar al proveedor de LDAP la dirección de correo electrónico correspondiente, que luego se usa para la autenticación.

Password

Elemento vacío que toma uno de los siguientes atributos:

  • ref: Es una referencia a la contraseña en la solicitud, como request.header.password.
  • value: La contraseña encriptada

SearchQuery

Si deseas autenticarte con un atributo de DN que no sea el nombre de usuario, como el correo electrónico, configura la política de LDAP para obtener un atributo de DN de la solicitud (como el nombre de usuario), que se usa para identificar al usuario en LDAP, recuperar el correo electrónico y autenticar al usuario.

Por ejemplo, supongamos que LDAP define un atributo "mail" para almacenar la dirección de correo electrónico:

<SearchQuery>mail={request.header.mail}</SearchQuery>

Buscar

Search

Es el elemento principal del comportamiento de búsqueda que implementas.

SearchQuery

Si identificas al usuario con metadatos en la solicitud o la respuesta, puedes usar este elemento para recuperar atributos de DN adicionales para el usuario desde LDAP. Por ejemplo, si la solicitud contiene el correo electrónico del usuario y tu LDAP define un atributo mail para almacenar direcciones de correo electrónico del usuario, usarías el siguiente parámetro de configuración:

<SearchQuery>mail={request.header.mail}</SearchQuery>

Esta consulta busca en LDAP un correo electrónico que coincida con el de la solicitud, y la política ahora puede recuperar atributos de DN adicionales para ese usuario con el elemento Attributes.

Attributes

Usa uno o más elementos <Attribute> para identificar los metadatos del DN que deseas recuperar para el usuario. Se requiere al menos un atributo.

Por ejemplo, después de que SearchQuery identifica al usuario, la política ahora puede recuperar atributos de DN para el usuario, como la dirección, el número de teléfono y el título del usuario, como se muestra en el siguiente ejemplo.

Los valores de los atributos son los nombres de los atributos del DN definidos en tu LDAP.

<Attributes>
  <Attribute>address</Attribute>
  <Attribute>phone</Attribute>
  <Attribute>title</Attribute>
</Attributes>

Notas de uso

Apigee Edge para la nube privada te permite aprovechar un proveedor de LDAP en las llamadas a la API. Con la política de LDAP, las aplicaciones pueden autenticar credenciales en relación con los usuarios almacenados en LDAP, y puedes recuperar nombres distintivos (DN) de LDAP, es decir, los metadatos o atributos asociados con cada usuario, como el correo electrónico, la dirección y el número de teléfono. El DN devuelto se almacena en una variable para que el proxy de API lo use más adelante.

Crea un recurso de LDAP

La política de LDAP aprovecha un recurso de LDAP que creas en Apigee Edge. Un recurso de LDAP proporciona la información de conexión a tu repositorio de LDAP.

Para crear y administrar recursos de LDAP, usa la siguiente API y carga útil:

API

Crea (POST) un recurso de LDAP o enumera (GET) todos los recursos de LDAP:

/v1/organizations/org_name/environments/environment/ldapresources

Obtén detalles (GET), actualiza (POST) y borra (DELETE) un recurso de LDAP:

/v1/organizations/org_name/environments/environment/ldapresources/ldap_resource_name

Carga útil

A continuación, se incluye una carga útil de XML de ejemplo con comentarios de uso.

<LdapResource name="ldap1">
  <Connection>
    <Hosts>
      <!-- port is optional: defaults to 389 for ldap:// and 636 for ldaps:// -->
      <Host port="636">foo.com</Host>
    </Hosts>
    <SSLEnabled>false</SSLEnabled> <!-- optional, defaults to false -->
    <Version>3</Version> <!-- optional, defaults to 3-->
    <Authentication>simple</Authentication> <!-- optional, only simple supported -->
    <ConnectionProvider>jndi|unboundid</ConnectionProvider> <!-- required -->
    <ServerSetType>single|round robin|failover</ServerSetType> <!-- not applicable for jndi -->
    <!-- If using a custom LDAP provider, the fully qualified class: -->
    <LdapConnectorClass>com.custom.ldap.MyProvider</LdapConnectorClass>
  </Connection>
  <ConnectPool enabled="true"> <!-- enabled is optional, defaults to true -->
    <Timeout>30000</Timeout> <!-- optional, in milliseconds; if not set, no timeout -->
    <Maxsize>50</Maxsize> <!-- optional; if not set, no max connections -->
    <Prefsize>30</Prefsize> <!-- optional; if not set, no pref size -->
    <Initsize></Initsize> <!-- optional; if not set, defaults to 1 -->
    <Protocol></Protocol> <!-- optional; if not set, defaults to 'ssl plain' -->
  </ConnectPool>
  <Admin>
    <DN>cn=manager,dc=apigee,dc=com</DN>
    <Password>secret</Password>
  </Admin>
</LdapResource>

Ejemplo de curl: Crea un recurso de LDAP

En el siguiente ejemplo, se crea un recurso LDAP llamado ldap1.

curl -X POST -H "Content-Type: application/xml" \
  https://api.enterprise.apigee.com/v1/organizations/myorg/environments/test/ldapresources \
  -u apigee_email:password -d \
  '<LdapResource name="ldap1">
    <Connection>
      <Hosts>
      <Host>foo.com</Host>
      </Hosts>
      <SSLEnabled>false</SSLEnabled>
      <Version>3</Version>
      <Authentication>simple</Authentication>
      <ConnectionProvider>unboundid</ConnectionProvider>
      <ServerSetType>round robin</ServerSetType>
    </Connection>
    <ConnectPool enabled="true">
      <Timeout>30000</Timeout>
      <Maxsize>50</Maxsize>
      <Prefsize>30</Prefsize>
      <Initsize></Initsize>
      <Protocol></Protocol>
    </ConnectPool>
    <Admin>
      <DN>cn=manager,dc=apigee,dc=com</DN>
      <Password>secret</Password>
    </Admin>
  </LdapResource>'

Códigos de respuesta

A continuación, se indican los códigos de respuesta HTML que devuelve la política en caso de éxito o falla:

  • Success: 200
  • Falla: 401

Usa un proveedor de LDAP personalizado en Edge para la nube privada

Usa un proveedor de LDAP personalizado

Apigee Edge para la nube privada incluye un proveedor de LDAP que ya está configurado para interactuar con la política de LDAP. Sin embargo, si usas un proveedor de LDAP personalizado, debes habilitar el proveedor para que admita la política de LDAP. Para ello, sigue estos pasos:

  1. En tu clase de proveedor de LDAP, implementa la interfaz ExternalLdapConProvider. 
    public interface ExternalLdapConProvider {
  void doAuthentication(LdapBean LlapBean, String userDN, String password, String baseDN);

  void doSearchAndAuthentication(LdapBean LlapBean, String password, String baseDN, String query, int scope);

  Collection<Map<String, String[]>> doSearch(LdapBean LlapBean, String query,
    String baseDN, Collection<String> requiredAttributes, int scope);

  void closeConnections();
}
  2. En el <LdapConnectorClass> de la configuración de la política (secciones siguientes), agrega el nombre de clase completo de tu proveedor de LDAP personalizado.
  3. Descarga este archivo: custom-ldap.jar_.zip. (Es posible que debas hacer clic con el botón derecho y seleccionar Guardar como).
  4. Descomprímelo.
  5. Agrega el archivo custom-ldap.jar a tu entorno y asegúrate de que esté en tu classpath.
  6. Crea un recurso de entorno para tu proveedor de LDAP. Usarás el nombre del recurso del entorno en el elemento <LdapResource> de la política de LDAP.

Uso del SDK de LDAP de UnboundID para Java

Puedes usar el SDK de LDAP de UnboundID con la política de LDAP, pero primero debes descargar la versión 2.3.1 y agregarla a cada una de las rutas de acceso de clase de tu procesador de mensajes.

Para usar el SDK de LDAP de UnboundID con la política de LDAP, haz lo siguiente:

  1. Abre un navegador y navega al repositorio de archivos de Sourceforge para el SDK de LDAP de UnboundID: 
    https://sourceforge.net/projects/ldap-sdk/files/
  2. Busca la versión 2.3.1 (SE o Standard Edition) del SDK y descarga el archivo ZIP de esa versión. Por ejemplo, descarga "unboundid-ldapsdk-2.3.1-se.zip".
  3. Extrae el archivo JAR del archivo ZIP del SDK, como se muestra en el siguiente ejemplo: 
    unzip -j -d ~/tmp ~/Downloads/unboundid-ldapsdk-2.3.1-se.zip unboundid-ldapsdk-2.3.1-se/unboundid-ldapsdk-se.jar

    Este comando extrae solo el archivo JAR en el directorio ~/tmp. Descarta la estructura de directorios con -j, aunque esto es opcional.

  4. En cada nodo de Message Processor, haz lo siguiente:
    1. Copia el archivo JAR en el directorio /opt/apigee/edge-gateway/lib/thirdparty del procesador de mensajes.
    2. Si es necesario, otorga permiso de usuario de Apigee en el archivo JAR para que el procesador de mensajes pueda acceder a él.

      3. Edge agrega todas las bibliotecas de terceros en el directorio /opt/apigee/edge-gateway/lib/thirdparty a la ruta de clase.

    3. Reinicia el Message Processor: 
      /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

Variables de flujo

A continuación, se indican las variables de política de LDAP que propaga un SearchQuery.

Variable

Description

 
ldap.policyName.execution.success

Después de que se ejecuta la política, esta variable de flujo contiene un valor de "verdadero" o "falso", según el resultado.

 
ldap.policyName.search.result[index].
  attribute.attrName[index]=value

El formato flexible de esta variable, el índice en particular, tiene en cuenta varios atributos, así como atributos con múltiples valores. El índice es un número que comienza en 1. Si no se proporciona un número de índice, el número de índice predeterminado es 1.

Si la política devuelve la dirección, el teléfono y el correo electrónico, puedes recuperar el primer atributo y el valor con estas variables:

ldap.policyName.search.result.attribute.address
ldap.policyName.search.result.attribute.phone
ldap.policyName.search.result.attribute.email

Si quisieras recuperar el tercer atributo de dirección en los resultados de la búsqueda, usarías lo siguiente:

ldap.policyName.search.result[3].attribute.address

Si un atributo tenía varios valores (por ejemplo, si un usuario tiene varias direcciones de correo electrónico), recuperarías la segunda dirección de correo electrónico de los resultados de la siguiente manera:

ldap.policyName.search.result.attribute.mail[2]

Códigos de error

Los errores que muestran las políticas de Edge tienen un formato coherente, como se describe en la referencia del código de error.

Esta política usa los siguientes códigos de error:

Código de error Mensajes
InvalidAttributeName Invalid attribute name {0}.
InvalidSearchBase Search base can not be empty.
InvalidValueForPassword Invalid value for password field. It can not be empty.
InvalidSearchScope Invalid scope {0}. Allowed scopes are {1}.
InvalidUserCredentials Invalid user credentials.
InvalidExternalLdapReference Invalid external ldap reference {0}.
LdapResourceNotFound Ldap resource {0} not found.
BaseDNRequired Base DN required.
OnlyReferenceOrValueIsAllowed Only value or reference is allowed for {0}.
AttributesRequired At least one attribute required for search action.
UserNameIsNull User name is null.
SearchQueryAndUserNameCannotBePresent Both search query and username can not be present in the authentication action. Please specify either one of them.