Le système Apigee utilise OpenLDAP pour authentifier les utilisateurs dans votre environnement de gestion d'API. OpenLDAP rend disponible cette fonctionnalité de stratégie de mot de passe LDAP.
Cette section explique comment configurer la règle de mot de passe LDAP par défaut transmis. Utilisez ces règles relatives aux mots de passe pour configurer diverses options d'authentification par mot de passe, telles que le nombre de tentatives de connexion infructueuses consécutives après lesquelles un mot de passe ne peut plus être utilisé pour authentifier un utilisateur dans l'annuaire.
Cette section explique également comment utiliser quelques API pour déverrouiller des comptes utilisateur qui ont été verrouillés en fonction des attributs configurés dans la stratégie de mot de passe par défaut.
Pour en savoir plus, consultez les pages suivantes :
- Règle LDAP
- "Informations importantes concernant les règles relatives à vos mots de passe" dans la communauté Apigee
Configuration de la stratégie de mot de passe LDAP par défaut
Pour configurer la règle relative aux mots de passe LDAP par défaut:
- Connectez-vous à votre serveur LDAP à l'aide d'un client LDAP, tel qu'Apache Studio ou ldapmodify. Par défaut, le serveur OpenLDAP écoute sur le port 10389 du nœud OpenLDAP.
Pour vous connecter, spécifiez le nom distinctif (ou l'utilisateur) de liaison de
cn=manager,dc=apigee,dc=com
et le mot de passe OpenLDAP que vous avez défini lors de l'installation d'Edge. - Utilisez le client pour accéder aux attributs de la règle relative aux mots de passe pour :
- Utilisateurs en périphérie:
cn=default,ou=pwpolicies,dc=apigee,dc=com
- Administrateur système Edge:
cn=sysadmin,ou=pwpolicies,dc=apigee,dc=com
- Utilisateurs en périphérie:
- Modifiez les valeurs d'attribut de la règle relative aux mots de passe selon vos besoins.
- Enregistrez la configuration.
Attributs de la règle relative aux mots de passe LDAP par défaut
Attribut | Description | Par défaut |
---|---|---|
pwdExpireWarning |
Délai maximal, en secondes, avant l'expiration d'un mot de passe. Des messages d'avertissement d'expiration sont renvoyés à l'utilisateur qui s'authentifie dans l'annuaire. |
604800 (équivalent à 7 jours) |
pwdFailureCountInterval |
Nombre de secondes après lesquelles les anciennes tentatives de liaison ayant échoué consécutives sont supprimées définitivement du compteur d'échecs. En d'autres termes, il s'agit du nombre de secondes au bout de laquelle le nombre de tentatives de connexion infructueuses consécutives est réinitialisé. Si Si Nous vous recommandons de définir cet attribut sur la même valeur que l'attribut |
300 |
pwdInHistory |
Nombre maximal de mots de passe utilisés ou passés par un utilisateur qui seront stockés dans l'attribut Si elle modifie son mot de passe, l'utilisateur ne pourra pas le remplacer par ses anciens mots de passe. |
3 |
pwdLockout |
Si la valeur est |
Faux |
pwdLockoutDuration |
Nombre de secondes pendant lesquelles un mot de passe ne peut pas être utilisé pour authentifier l'utilisateur en raison d'un trop grand nombre de tentatives de connexion infructueuses consécutives. En d'autres termes, il s'agit de la durée pendant laquelle un compte utilisateur reste verrouillé en raison du dépassement du nombre de tentatives de connexion infructueuses consécutives défini par l'attribut Si Consultez Déverrouiller un compte utilisateur. Si Nous vous recommandons de définir cet attribut sur la même valeur que l'attribut |
300 |
pwdMaxAge |
Durée en secondes après laquelle le mot de passe d'un utilisateur (non-administrateur système) expire. La valeur 0 signifie que les mots de passe n'expirent pas. La valeur par défaut de 2592 000 correspond à 30 jours à compter de la création du mot de passe. |
utilisateur: 2 592 000 sysadmin: 0 |
pwdMaxFailure |
Nombre de tentatives de connexion infructueuses consécutives au-delà desquelles un mot de passe ne peut pas être utilisé pour authentifier un utilisateur auprès de l'annuaire. |
3 |
pwdMinLength |
Spécifie le nombre minimal de caractères requis lors de la définition d'un mot de passe. |
8 |
Déverrouiller un compte utilisateur
Le compte d'un utilisateur peut être verrouillé en raison d'attributs définis dans la règle relative aux mots de passe. Un utilisateur doté du rôle Apigee d'administrateur système peut utiliser l'appel d'API suivant pour déverrouiller son compte. Remplacez userEmail, adminEmail et password par des valeurs réelles.
Pour déverrouiller un utilisateur:
/v1/users/userEmail/status?action=unlock -X POST -u adminEmail:password