นโยบาย LDAP

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X info

อะไร

นโยบาย LDAP มีข้อกำหนดต่อไปนี้

• การตรวจสอบสิทธิ์: ระบบจะตรวจสอบข้อมูลเข้าสู่ระบบของผู้ใช้ที่ระบุในคำขอ กับข้อมูลเข้าสู่ระบบในผู้ให้บริการ LDAP นโยบาย LDAP ช่วยให้คุณมีความยืดหยุ่นในการตรวจสอบสิทธิ์เป็นอย่างมาก โดยให้คุณใช้ค่า DN ใดก็ได้พร้อมกับรหัสผ่าน แม้ว่าค่า DN ที่ต้องการจะไม่ได้อยู่ในคำขอก็ตาม เช่น สมมติว่าคุณต้องใช้อีเมล / รหัสผ่านเพื่อ การตรวจสอบสิทธิ์ ตัวเลือกที่เป็นไปได้มีดังนี้
  • หากมีอีเมลในคำขอ คุณก็สามารถใช้อีเมลนั้นกับรหัสผ่านสำหรับการตรวจสอบสิทธิ์ LDAP ได้เลย
  • หากไม่มีอีเมลในคำขอ แต่มีแอตทริบิวต์ DN อื่น (เช่น หมายเลขโทรศัพท์) คุณสามารถใช้หมายเลขโทรศัพท์เพื่อรับอีเมลที่เกี่ยวข้องจาก LDAP แล้วใช้อีเมล/ รหัสผ่านเพื่อตรวจสอบสิทธิ์
• การค้นหา Distinguished Name (DN): นอกเหนือจากการตรวจสอบสิทธิ์แล้ว คุณยังใช้นโยบาย LDAP เพื่อระบุแอตทริบิวต์ของผู้ใช้ในคำขอ เช่น อีเมล และทำการค้นหาที่ดึงแอตทริบิวต์ DN อื่นๆ จาก LDAP สำหรับผู้ใช้รายนั้นได้ด้วย ระบบจะจัดเก็บ DN ที่ดึงมา ไว้ในตัวแปร

ใช้นโยบาย LDAP เมื่อควรจำกัดการเข้าถึงทรัพยากรที่ได้รับการปกป้องไว้เฉพาะผู้ใช้ในผู้ให้บริการ LDAP เช่น ผู้ใช้ที่เป็นผู้ดูแลระบบ ผู้ใช้ในองค์กร และนักพัฒนาแอป โดยเฉพาะเมื่อการเข้าถึงโทเค็น OAuth ไม่จำเป็นหรือมีน้ำหนักมากเกินไป นโยบายนี้ยังออกแบบมาเพื่อ ดึงข้อมูลเมตาของชื่อโดเมนเพื่อใช้ในโฟลว์พร็อกซี API

ตัวอย่างเช่น คุณสามารถเรียกใช้ API ได้ก็ต่อเมื่อระบบตรวจสอบสิทธิ์ผู้ใช้กับ LDAP สำเร็จแล้ว และเลือกดึงแอตทริบิวต์ DN (ชื่อโดเมน) สำหรับผู้ใช้หลังจาก การตรวจสอบสิทธิ์สำเร็จ

ดูข้อมูลเพิ่มเติมได้ที่

• การจัดการ นโยบายรหัสผ่าน LDAP เริ่มต้นสำหรับการจัดการ API
• "ข้อมูลสำคัญเกี่ยวกับนโยบายรหัสผ่าน" ใน ชุมชน Apigee

ตัวอย่าง

<Ldap name="4GLdapPolicy">
   <LdapResource>ldap1</LdapResource>
   <Authentication>
       <UserName ref="request.header.username"/>
       <Password ref="request.header.password"/>
       <Scope>subtree</Scope>
       <BaseDN ref="apigee.baseDN"></BaseDN> <!-- default is dc=apigee,dc=com -->
    </Authentication>
 </Ldap>

<Ldap name="LdapPolicy">
   <LdapResource>ldap1</LdapResource>
   <Authentication>
       <Password ref="request.header.password"/>
       <SearchQuery>mail={request.header.mail}</SearchQuery>
       <Scope>subtree</Scope>
       <BaseDN ref="apigee.baseDN"></BaseDN> <!-- default is dc=apigee,dc=com -->
    </Authentication>
 </Ldap>

<Ldap name="LdapPolicy">
    <!-- using a custom LDAP provider -->
    <LdapConnectorClass>com.custom.ldap.MyProvider</LdapConnectorClass>
    <LdapResource>MyLdap</LdapResource>
    <Search>
        <BaseDN ref="apigee.baseDN"></BaseDN> <!-- default is dc=apigee,dc=com -->
        <SearchQuery>mail={request.header.mail}</SearchQuery>
        <Attributes>
            <Attribute>address</Attribute>
            <Attribute>phone</Attribute>
            <Attribute>title</Attribute>
        </Attributes>
        <Scope></Scope> <!-- default is ‘subtree’ -->
    </Search>
</Ldap>

การอ้างอิงองค์ประกอบ

ต่อไปนี้คือคำอธิบายขององค์ประกอบและแอตทริบิวต์ของนโยบาย LDAP

<Attributes>
  <Attribute>address</Attribute>
  <Attribute>phone</Attribute>
  <Attribute>title</Attribute>
</Attributes>

หมายเหตุการใช้งาน

Apigee Edge สำหรับ Private Cloud ช่วยให้คุณใช้ประโยชน์จากผู้ให้บริการ LDAP ในการเรียก API ได้ นโยบาย LDAP ช่วยให้แอปพลิเคชันสามารถตรวจสอบสิทธิ์เข้าถึงกับผู้ใช้ที่จัดเก็บไว้ใน LDAP และคุณสามารถ ดึงชื่อเฉพาะ (DN) จาก LDAP ซึ่งเป็นข้อมูลเมตาหรือแอตทริบิวต์ที่เชื่อมโยงกับ ผู้ใช้แต่ละราย เช่น อีเมล ที่อยู่ และหมายเลขโทรศัพท์ ระบบจะจัดเก็บ DN ที่ส่งคืนในตัวแปรเพื่อ ใช้ต่อโดยพร็อกซี API

สร้างทรัพยากร LDAP

นโยบาย LDAP ใช้ประโยชน์จากทรัพยากร LDAP ที่คุณสร้างใน Apigee Edge แหล่งข้อมูล LDAP ให้ข้อมูลการเชื่อมต่อกับที่เก็บ LDAP

หากต้องการสร้างและจัดการทรัพยากร LDAP ให้ใช้ API และเพย์โหลดต่อไปนี้

API

สร้าง (POST) ทรัพยากร LDAP หรือแสดง (GET) ทรัพยากร LDAP ทั้งหมด

/v1/organizations/org_name/environments/environment/ldapresources

ดูรายละเอียดสำหรับ (GET), อัปเดต (POST) และลบ (DELETE) ทรัพยากร LDAP

/v1/organizations/org_name/environments/environment/ldapresources/ldap_resource_name

เพย์โหลด

ต่อไปนี้คือตัวอย่างเพย์โหลด XML พร้อมความคิดเห็นเกี่ยวกับการใช้งาน

<LdapResource name="ldap1">
  <Connection>
    <Hosts>
      <!-- port is optional: defaults to 389 for ldap:// and 636 for ldaps:// -->
      <Host port="636">foo.com</Host>
    </Hosts>
    <SSLEnabled>false</SSLEnabled> <!-- optional, defaults to false -->
    <Version>3</Version> <!-- optional, defaults to 3-->
    <Authentication>simple</Authentication> <!-- optional, only simple supported -->
    <ConnectionProvider>jndi|unboundid</ConnectionProvider> <!-- required -->
    <ServerSetType>single|round robin|failover</ServerSetType> <!-- not applicable for jndi -->
    <!-- If using a custom LDAP provider, the fully qualified class: -->
    <LdapConnectorClass>com.custom.ldap.MyProvider</LdapConnectorClass>
  </Connection>
  <ConnectPool enabled="true"> <!-- enabled is optional, defaults to true -->
    <Timeout>30000</Timeout> <!-- optional, in milliseconds; if not set, no timeout -->
    <Maxsize>50</Maxsize> <!-- optional; if not set, no max connections -->
    <Prefsize>30</Prefsize> <!-- optional; if not set, no pref size -->
    <Initsize></Initsize> <!-- optional; if not set, defaults to 1 -->
    <Protocol></Protocol> <!-- optional; if not set, defaults to 'ssl plain' -->
  </ConnectPool>
  <Admin>
    <DN>cn=manager,dc=apigee,dc=com</DN>
    <Password>secret</Password>
  </Admin>
</LdapResource>

ตัวอย่าง curl: สร้างทรัพยากร LDAP

ตัวอย่างต่อไปนี้จะสร้างทรัพยากร LDAP ชื่อ ldap1

curl -X POST -H "Content-Type: application/xml" \
  https://api.enterprise.apigee.com/v1/organizations/myorg/environments/test/ldapresources \
  -u apigee_email:password -d \
  '<LdapResource name="ldap1">
    <Connection>
      <Hosts>
      <Host>foo.com</Host>
      </Hosts>
      <SSLEnabled>false</SSLEnabled>
      <Version>3</Version>
      <Authentication>simple</Authentication>
      <ConnectionProvider>unboundid</ConnectionProvider>
      <ServerSetType>round robin</ServerSetType>
    </Connection>
    <ConnectPool enabled="true">
      <Timeout>30000</Timeout>
      <Maxsize>50</Maxsize>
      <Prefsize>30</Prefsize>
      <Initsize></Initsize>
      <Protocol></Protocol>
    </ConnectPool>
    <Admin>
      <DN>cn=manager,dc=apigee,dc=com</DN>
      <Password>secret</Password>
    </Admin>
  </LdapResource>'

โค้ดตอบกลับ

ต่อไปนี้คือรหัสการตอบกลับ HTML ที่นโยบายแสดงเมื่อสำเร็จหรือล้มเหลว

• สำเร็จ: 200
• ไม่สำเร็จ: 401

การใช้ผู้ให้บริการ LDAP ที่กำหนดเองใน Edge สำหรับ Private Cloud

การใช้ผู้ให้บริการ LDAP ที่กำหนดเอง

Apigee Edge สำหรับ Private Cloud มาพร้อมกับผู้ให้บริการ LDAP ที่กำหนดค่าไว้แล้วเพื่อ โต้ตอบกับนโยบาย LDAP อย่างไรก็ตาม หากคุณใช้ผู้ให้บริการ LDAP ที่กำหนดเอง คุณต้องเปิดใช้ ผู้ให้บริการเพื่อรองรับนโยบาย LDAP หากต้องการทำสิ่งต่อไปนี้

1. ในคลาสผู้ให้บริการ LDAP ให้ใช้ExternalLdapConProviderอินเทอร์เฟซ

   public interface ExternalLdapConProvider {
     void doAuthentication(LdapBean LlapBean, String userDN, String password, String baseDN);
   
     void doSearchAndAuthentication(LdapBean LlapBean, String password, String baseDN, String query, int scope);
   
     Collection<Map<String, String[]>> doSearch(LdapBean LlapBean, String query,
       String baseDN, Collection<String> requiredAttributes, int scope);
   
     void closeConnections();
   }

2. ใน <LdapConnectorClass> ของการกำหนดค่านโยบาย (ส่วนถัดไป) ให้เพิ่มชื่อคลาสที่มีคุณสมบัติครบถ้วนของผู้ให้บริการ LDAP ที่กำหนดเอง
3. ดาวน์โหลดไฟล์ custom-ldap.jar_.zip (คุณอาจต้องคลิกขวาแล้วเลือกบันทึกเป็น)
4. แตกไฟล์
5. เพิ่มไฟล์ custom-ldap.jar ลงในสภาพแวดล้อมและตรวจสอบว่าอยู่ใน classpath
6. สร้างทรัพยากรสภาพแวดล้อมสำหรับผู้ให้บริการ LDAP คุณจะใช้ชื่อทรัพยากรสภาพแวดล้อม ในองค์ประกอบ <LdapResource> ของนโยบาย LDAP

การใช้ UnboundID LDAP SDK สำหรับ Java

คุณใช้ UnboundID LDAP SDK กับนโยบาย LDAP ได้ แต่ต้องดาวน์โหลดเวอร์ชัน 2.3.1 ก่อน แล้วเพิ่มลงในเส้นทางคลาสของ Message Processor แต่ละรายการ

วิธีใช้ UnboundID LDAP SDK กับนโยบาย LDAP

1. เปิดเบราว์เซอร์และไปที่ที่เก็บไฟล์ Sourceforge สำหรับ UnboundID LDAP SDK

   https://sourceforge.net/projects/ldap-sdk/files/

2. ค้นหา SDK เวอร์ชัน 2.3.1 (SE หรือ Standard Edition) แล้วดาวน์โหลดไฟล์ ZIP สำหรับเวอร์ชันนั้น เช่น ดาวน์โหลด "unboundid-ldapsdk-2.3.1-se.zip"
3. แตกไฟล์ JAR จากไฟล์ ZIP ของ SDK ดังตัวอย่างต่อไปนี้

   unzip -j -d ~/tmp ~/Downloads/unboundid-ldapsdk-2.3.1-se.zip unboundid-ldapsdk-2.3.1-se/unboundid-ldapsdk-se.jar

   คำสั่งนี้จะแตกไฟล์ JAR ไปยังไดเรกทอรี ~/tmp เท่านั้น โดยจะวางโครงสร้างไดเรกทอรี ด้วย -j แม้ว่าจะเป็นตัวเลือกก็ตาม

4. ในแต่ละโหนด Message Processor ให้ทำดังนี้
   1. คัดลอกไฟล์ JAR ไปยังไดเรกทอรี /opt/apigee/edge-gateway/lib/thirdparty ของ Message Processor
   2. หากจำเป็น ให้สิทธิ์ผู้ใช้ Apigee ในไฟล์ JAR เพื่อให้ Message Processor เข้าถึงได้

   Edge จะเพิ่มไลบรารีของบุคคลที่สามทั้งหมดในไดเรกทอรี /opt/apigee/edge-gateway/lib/thirdparty ไปยัง classpath

   3. รีสตาร์ทตัวประมวลผลข้อความโดยทำดังนี้

      /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

ตัวแปรโฟลว์

ต่อไปนี้คือตัวแปรนโยบาย LDAP ที่สร้างขึ้นโดย SearchQuery

ldap.policyName.execution.success

ldap.policyName.search.result[index].
  attribute.attrName[index]=value

ldap.policyName.search.result.attribute.address
ldap.policyName.search.result.attribute.phone
ldap.policyName.search.result.attribute.email

ldap.policyName.search.result[3].attribute.address

ldap.policyName.search.result.attribute.mail[2]

รหัสข้อผิดพลาด

ข้อผิดพลาดที่ส่งกลับจากนโยบาย Edge จะมีรูปแบบที่สอดคล้องกันตามที่อธิบายไว้ในข้อมูลอ้างอิงรหัสข้อผิดพลาด

นโยบายนี้ใช้รหัสข้อผิดพลาดต่อไปนี้