Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation weitere Informationen
Was
Die LDAP-Richtlinie bietet Folgendes:
- Authentifizierung: In der Anfrage angegebene Nutzeranmeldedaten werden mit den Anmeldedaten des LDAP-Anbieters abgeglichen. Die LDAP-Richtlinie bietet Ihnen bei der Authentifizierung ein hohes Maß an Flexibilität. Sie können zusammen mit dem Passwort jeden beliebigen DN-Wert verwenden, auch wenn dieser gewünschte DN-Wert nicht in der Anfrage enthalten ist. Angenommen, Sie müssen eine E-Mail-Adresse / ein Passwort für die Authentifizierung verwenden. Folgende Optionen sind möglich:
- Wenn die E-Mail-Adresse in der Anfrage enthalten ist, können Sie sie einfach mit dem Passwort für die LDAP-Authentifizierung verwenden.
- Wenn die E-Mail-Adresse nicht in der Anfrage enthalten ist, aber ein anderes DN-Attribut (z. B. eine Telefonnummer) vorhanden ist, können Sie die Telefonnummer verwenden, um die entsprechende E-Mail von LDAP zu erhalten, und dann die E-Mail-Adresse bzw. das Passwort zur Authentifizierung verwenden.
- DN-Suche (Distinguished Name): Zusätzlich zur Authentifizierung können Sie die LDAP-Richtlinie auch verwenden, um ein Nutzerattribut in der Anfrage zu identifizieren, z. B. eine E-Mail, und eine Abfrage durchzuführen, die andere DN-Attribute aus LDAP für diesen Nutzer abruft. Der abgerufene DN wird in einer Variablen gespeichert.
Verwenden Sie die LDAP-Richtlinie, wenn der Zugriff auf geschützte Ressourcen auf Nutzer bei Ihrem LDAP-Anbieter beschränkt werden sollte, z. B. Administratoren, Nutzer der Organisation und Entwickler. Das gilt insbesondere, wenn der OAuth-Tokenzugriff nicht erforderlich oder zu umfangreich ist. Die Richtlinie dient auch zum Abrufen von Domainnamen-Metadaten zur Verwendung in API-Proxy-Abläufen.
Sie können beispielsweise festlegen, dass ein API-Aufruf nur dann ausgeführt wird, wenn ein Nutzer erfolgreich über LDAP authentifiziert wurde. Optional können Sie dann nach erfolgreicher Authentifizierung DN-Attribute (Domain Name) für den Nutzer abrufen.
Weitere Informationen finden Sie unter:
- LDAP-Passwortrichtlinie für die API-Verwaltung verwalten
- Wichtige Informationen zu Ihrer Passwortrichtlinie in der Apigee-Community
Samples
Authentifizierung von Nutzername/Passwort
<Ldap name="4GLdapPolicy"> <LdapResource>ldap1</LdapResource> <Authentication> <UserName ref="request.header.username"/> <Password ref="request.header.password"/> <Scope>subtree</Scope> <BaseDN ref="apigee.baseDN"></BaseDN> <!-- default is dc=apigee,dc=com --> </Authentication> </Ldap>
Dieses Beispiel bietet die Authentifizierung bei einem LDAP-Anbieter. Die Richtlinie übergibt den Nutzernamen und das Passwort aus der Anfrage zur Authentifizierung an das LDAP.
DN-Attributauthentifizierung
<Ldap name="LdapPolicy"> <LdapResource>ldap1</LdapResource> <Authentication> <Password ref="request.header.password"/> <SearchQuery>mail={request.header.mail}</SearchQuery> <Scope>subtree</Scope> <BaseDN ref="apigee.baseDN"></BaseDN> <!-- default is dc=apigee,dc=com --> </Authentication> </Ldap>
Diese Richtlinie ruft den DN des Nutzers mit der E-Mail-Adresse im Anfrageheader ab und authentifiziert den Nutzer dann anhand des LDAPs mit dem Passwort, das im Anfrageheader angegeben ist.
LDAP wird gesucht
<Ldap name="LdapPolicy"> <!-- using a custom LDAP provider --> <LdapConnectorClass>com.custom.ldap.MyProvider</LdapConnectorClass> <LdapResource>MyLdap</LdapResource> <Search> <BaseDN ref="apigee.baseDN"></BaseDN> <!-- default is dc=apigee,dc=com --> <SearchQuery>mail={request.header.mail}</SearchQuery> <Attributes> <Attribute>address</Attribute> <Attribute>phone</Attribute> <Attribute>title</Attribute> </Attributes> <Scope></Scope> <!-- default is ‘subtree’ --> </Search> </Ldap>
Diese Richtlinie verweist auf einen benutzerdefinierten LDAP-Anbieter. Die E-Mail-Adresse im Anfrageheader wird verwendet, um den Nutzer zu identifizieren. Anschließend werden Adresse, Telefonnummer und Titel des Nutzers aus dem LDAP abgerufen. Die abgerufenen DN-Attribute werden in einer Variablen gespeichert. Siehe „Richtlinienspezifische Variablen“.
Damit in LDAP gesucht und DN-Attribute abgerufen werden können, muss die Anfrage Administratoranmeldedaten enthalten.
Elementverweis
Im Folgenden finden Sie Beschreibungen der LDAP-Richtlinienelemente und -attribute.
Element |
Beschreibung |
---|---|
|
Übergeordnetes Element mit einem „name“-Attribut zum Eingeben des Richtliniennamens. |
|
Wenn Sie die LDAP-Richtlinie mit einem benutzerdefinierten LDAP-Anbieter (nicht von Apigee bereitgestellt) verwenden, geben Sie die voll qualifizierte LDAP-Connector-Klasse an.
Das ist die Klasse, in der Sie die |
|
Geben Sie den Umgebungsnamen der LDAP-Ressource ein. Weitere Informationen finden Sie unter LDAP-Ressource erstellen. |
|
Die Basisebene von LDAP, unter der alle Ihre Daten vorhanden sind. Beim LDAP-Anbieter von Apigee befinden sich alle Daten beispielsweise unter
|
|
|
Authentifizierung |
|
|
Übergeordnetes Element für das von Ihnen implementierte Authentifizierungsverhalten. |
|
Leeres Element mit einem der folgenden Attribute:
Wenn Sie sich nicht mit dem Nutzernamen authentifizieren oder der Nutzername nicht in der Anfrage enthalten ist, müssen Sie dieses Element nicht angeben. Wenn der Nutzername in der Anfrage enthalten ist, Sie einen Nutzer jedoch mit einem anderen DN-Attribut als dem Nutzernamen authentifizieren möchten, z. B. mit der E-Mail-Adresse, fügen Sie |
|
Leeres Element mit einem der folgenden Attribute:
|
|
Wenn Sie für die Authentifizierung ein anderes DN-Attribut als den Nutzernamen verwenden möchten, z. B. eine E-Mail-Adresse, konfigurieren Sie die LDAP-Richtlinie so, dass aus der Anfrage ein DN-Attribut (z. B. der Nutzername) abgerufen wird. Damit wird der Nutzer in LDAP identifiziert, die E-Mail abgerufen und der Nutzer authentifiziert. Angenommen, LDAP definiert ein "mail"-Attribut zum Speichern der E-Mail-Adresse:
|
Suche |
|
|
Übergeordnetes Element für das von Ihnen implementierte Suchverhalten. |
|
Wenn Sie den Nutzer mit Metadaten in der Anfrage oder Antwort identifizieren, können Sie dieses Element verwenden, um zusätzliche DN-Attribute für den Nutzer aus LDAP abzurufen. Wenn die Anfrage beispielsweise die E-Mail-Adresse des Nutzers enthält und Ihr LDAP ein
Diese Abfrage sucht im LDAP nach einer E-Mail-Adresse, die mit der E-Mail-Adresse in der Anfrage übereinstimmt. Die Richtlinie kann jetzt mit dem Element „Attributes“ zusätzliche DN-Attribute für diesen Nutzer abrufen. |
|
Verwenden Sie ein oder mehrere Nachdem der Nutzer durch Attributwerte sind die in Ihrem LDAP definierten DN-Attributnamen. <Attributes> <Attribute>address</Attribute> <Attribute>phone</Attribute> <Attribute>title</Attribute> </Attributes> |
Hinweise zur Verwendung
Mit Apigee Edge for Private Cloud können Sie einen LDAP-Anbieter in API-Aufrufen nutzen. Mit der LDAP-Richtlinie können Anwendungen Anmeldedaten gegenüber Nutzern authentifizieren, die in LDAP gespeichert sind. Außerdem können Sie Distinguished Names (DNs) aus LDAP abrufen, d. h. die Metadaten oder Attribute, die mit jedem Nutzer verknüpft sind, z. B. E-Mail-Adresse, Adresse und Telefonnummer. Der zurückgegebene DN wird zur weiteren Verwendung durch den API-Proxy in einer Variablen gespeichert.
LDAP-Ressource erstellen
Die LDAP-Richtlinie nutzt eine LDAP-Ressource, die Sie in Apigee Edge erstellen. Eine LDAP-Ressource stellt die Verbindungsinformationen zu Ihrem LDAP-Repository bereit.
Verwenden Sie die folgende API und Nutzlast, um LDAP-Ressourcen zu erstellen und zu verwalten:
API
Erstellen (POST
) Sie eine LDAP-Ressource oder listen Sie alle LDAP-Ressourcen auf (GET
):
/v1/organizations/org_name/environments/environment/ldapresources
Rufen Sie Details zum (GET
), Aktualisieren (POST
) und Löschen (DELETE
) einer LDAP-Ressource ab:
/v1/organizations/org_name/environments/environment/ldapresources/ldap_resource_name
Nutzlast
Es folgt ein Beispiel für eine XML-Nutzlast mit Kommentaren zur Verwendung.
<LdapResource name="ldap1"> <Connection> <Hosts> <!-- port is optional: defaults to 389 for ldap:// and 636 for ldaps:// --> <Host port="636">foo.com</Host> </Hosts> <SSLEnabled>false</SSLEnabled> <!-- optional, defaults to false --> <Version>3</Version> <!-- optional, defaults to 3--> <Authentication>simple</Authentication> <!-- optional, only simple supported --> <ConnectionProvider>jndi|unboundid</ConnectionProvider> <!-- required --> <ServerSetType>single|round robin|failover</ServerSetType> <!-- not applicable for jndi --> <!-- If using a custom LDAP provider, the fully qualified class: --> <LdapConnectorClass>com.custom.ldap.MyProvider</LdapConnectorClass> </Connection> <ConnectPool enabled="true"> <!-- enabled is optional, defaults to true --> <Timeout>30000</Timeout> <!-- optional, in milliseconds; if not set, no timeout --> <Maxsize>50</Maxsize> <!-- optional; if not set, no max connections --> <Prefsize>30</Prefsize> <!-- optional; if not set, no pref size --> <Initsize></Initsize> <!-- optional; if not set, defaults to 1 --> <Protocol></Protocol> <!-- optional; if not set, defaults to 'ssl plain' --> </ConnectPool> <Admin> <DN>cn=manager,dc=apigee,dc=com</DN> <Password>secret</Password> </Admin> </LdapResource>
curl-Beispiel: LDAP-Ressource erstellen
Im folgenden Beispiel wird eine LDAP-Ressource mit dem Namen ldap1 erstellt.
curl -X POST -H "Content-Type: application/xml" \ https://api.enterprise.apigee.com/v1/organizations/myorg/environments/test/ldapresources \ -u apigee_email:password -d \ '<LdapResource name="ldap1"> <Connection> <Hosts> <Host>foo.com</Host> </Hosts> <SSLEnabled>false</SSLEnabled> <Version>3</Version> <Authentication>simple</Authentication> <ConnectionProvider>unboundid</ConnectionProvider> <ServerSetType>round robin</ServerSetType> </Connection> <ConnectPool enabled="true"> <Timeout>30000</Timeout> <Maxsize>50</Maxsize> <Prefsize>30</Prefsize> <Initsize></Initsize> <Protocol></Protocol> </ConnectPool> <Admin> <DN>cn=manager,dc=apigee,dc=com</DN> <Password>secret</Password> </Admin> </LdapResource>'
Antwortcodes
Im Folgenden finden Sie die HTML-Antwortcodes, die die Richtlinie bei Erfolg oder Misserfolg zurückgibt:
- Erfolgreich: 200
- Fehler: 401
Benutzerdefinierten LDAP-Anbieter in Edge für Private Cloud verwenden
Benutzerdefinierten LDAP-Anbieter verwenden
Apigee Edge for Private Cloud enthält einen LDAP-Anbieter, der bereits für die Interaktion mit der LDAP-Richtlinie konfiguriert ist. Wenn Sie jedoch einen benutzerdefinierten LDAP-Anbieter verwenden, müssen Sie den Anbieter aktivieren, damit er die LDAP-Richtlinie unterstützt. Das geht so:
- Implementieren Sie die Schnittstelle
ExternalLdapConProvider
in Ihrer LDAP-Anbieterklasse.public interface ExternalLdapConProvider { void doAuthentication(LdapBean LlapBean, String userDN, String password, String baseDN); void doSearchAndAuthentication(LdapBean LlapBean, String password, String baseDN, String query, int scope); Collection<Map<String, String[]>> doSearch(LdapBean LlapBean, String query, String baseDN, Collection<String> requiredAttributes, int scope); void closeConnections(); }
- Fügen Sie im
<LdapConnectorClass>
der Richtlinienkonfiguration (nächste Abschnitte) den voll qualifizierten Klassennamen Ihres benutzerdefinierten LDAP-Anbieters hinzu. - Laden Sie die Datei custom-ldap.jar_.zip herunter. Möglicherweise müssen Sie mit der rechten Maustaste klicken und Speichern unter auswählen.
- Entpacken Sie sie.
- Fügen Sie die Datei „custom-ldap.jar“ in Ihre Umgebung ein und achten Sie darauf, dass sie sich in Ihrem Klassenpfad befindet.
- Erstellen Sie eine Umgebungsressource für Ihren LDAP-Anbieter. Der Ressourcenname der Umgebung wird im Element
<LdapResource>
der LDAP-Richtlinie verwendet.
UnboundID LDAP SDK für Java verwenden
Sie können das UnboundID LDAP SDK mit der LDAP-Richtlinie verwenden, aber Sie müssen zuerst Version 2.3.1 herunterladen und zu jedem Klassenpfad Ihres Message Processor hinzufügen.
So verwenden Sie das UnboundID LDAP SDK mit der LDAP-Richtlinie:
- Öffnen Sie einen Browser und rufen Sie das Sourceforge-Datei-Repository für das UnboundID LDAP SDK auf:
https://sourceforge.net/projects/ldap-sdk/files/
- Suchen Sie nach Version 2.3.1 (SE oder Standard Edition) des SDKs und laden Sie die ZIP-Datei für diese Version herunter. Laden Sie beispielsweise „unboundid-ldapsdk-2.3.1-se.zip“ herunter.
- Extrahieren Sie die JAR-Datei wie im folgenden Beispiel aus der SDK-ZIP-Datei:
unzip -j -d ~/tmp ~/Downloads/unboundid-ldapsdk-2.3.1-se.zip unboundid-ldapsdk-2.3.1-se/unboundid-ldapsdk-se.jar
Mit diesem Befehl wird nur die JAR-Datei in das Verzeichnis „~/tmp“ extrahiert. Dabei wird die Verzeichnisstruktur mit
-j
gelöscht, obwohl dies optional ist. - Auf jedem Message Processor-Knoten:
- Kopieren Sie die JAR-Datei in das Verzeichnis
/opt/apigee/edge-gateway/lib/thirdparty
des Message Processor. - Erteilen Sie dem Apigee-Nutzer gegebenenfalls die Berechtigung für die JAR-Datei, damit der Nachrichtenprozessor darauf zugreifen kann.
- Starten Sie den Message Processor neu:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
Edge fügt dem Klassenpfad alle Bibliotheken von Drittanbietern im Verzeichnis
/opt/apigee/edge-gateway/lib/thirdparty
hinzu. - Kopieren Sie die JAR-Datei in das Verzeichnis
Ablaufvariablen
Im Folgenden finden Sie die LDAP-Richtlinienvariablen, die von einem SearchQuery
ausgefüllt werden.
Variable |
Beschreibung |
---|---|
ldap.policyName.execution.success |
Nachdem die Richtlinie ausgeführt wurde, enthält diese Flussvariable je nach Ergebnis den Wert „true“ oder „false“. |
ldap.policyName.search.result[index]. attribute.attrName[index]=value |
Das flexible Format dieser Variable, insbesondere der Index: Konten für mehrere Attribute sowie Attribute mit mehreren Werten. Der Index ist eine Zahl, die bei 1 beginnt. Wenn keine Indexnummer angegeben wird, ist die Standardindexnummer 1. Wenn die Richtlinie die Adresse, die Telefonnummer und die E-Mail-Adresse zurückgibt, können Sie das erste Attribut und den ersten Wert mit diesen Variablen abrufen: ldap.policyName.search.result.attribute.address ldap.policyName.search.result.attribute.phone ldap.policyName.search.result.attribute.email Wenn Sie das dritte Adressattribut in den Suchergebnissen abrufen möchten, verwenden Sie Folgendes: ldap.policyName.search.result[3].attribute.address Wenn ein Attribut mehrere Werte hat (z. B. wenn ein Nutzer mehrere E-Mail-Adressen hat), rufen Sie die zweite E-Mail-Adresse so aus den Ergebnissen ab: ldap.policyName.search.result.attribute.mail[2] |
Fehlercodes
Von Edge-Richtlinien zurückgegebene Fehler folgen einem einheitlichen Format, wie in der Fehlercode-Referenz beschrieben.
Für diese Richtlinie werden die folgenden Fehlercodes verwendet:
Fehlercode | die Botschaft und |
---|---|
InvalidAttributeName |
Invalid attribute name {0}. |
InvalidSearchBase |
Search base can not be empty. |
InvalidValueForPassword |
Invalid value for password field. It can not be empty. |
InvalidSearchScope |
Invalid scope {0}. Allowed scopes are {1}. |
InvalidUserCredentials |
Invalid user credentials. |
InvalidExternalLdapReference |
Invalid external ldap reference {0}. |
LdapResourceNotFound |
Ldap resource {0} not found. |
BaseDNRequired |
Base DN required. |
OnlyReferenceOrValueIsAllowed |
Only value or reference is allowed for {0}. |
AttributesRequired |
At least one attribute required for search action. |
UserNameIsNull |
User name is null. |
SearchQueryAndUserNameCannotBePresent |
Both search query and username can not be present in the authentication action.
Please specify either one of them. |