المصادقة الخارجية

Edge for Private Cloud - الإصدار 4.16.09

يوضّح هذا المستند كيفية دمج خدمة دليل خارجي في عملية تثبيت حالية على Apigee Edge Private Cloud. وقد صُممت هذه الميزة للعمل مع أي خدمة من خدمات الدليل التي تتوافق مع LDAP، مثل Active Directory وOpenLDAP وغير ذلك. يتم تضمين جميع الخطوات هنا لتشغيل Apigee Edge مع خدمة LDAP.

يسمح حل LDAP الخارجي لمشرفي النظام بإدارة بيانات اعتماد المستخدمين من خدمة إدارة دليل مركزية، سواء كانت أنظمة خارجية مثل Apigee Edge التي تستخدمها. تتيح الميزة الموضّحة في هذا المستند استخدام مصادقة الربط المباشرة وغير المباشرة على حدّ سواء.

الجمهور

يفترض هذا المستند أنك مشرف النظام العام Apigee Edge وأن لديك حسابًا في خدمة الدليل الخارجي.

نظرة عامة

يستخدم Apigee Edge تلقائيًا مثيل OpenLDAP الداخلي لتخزين بيانات الاعتماد المستخدمة لمصادقة المستخدم. ومع ذلك، يمكنك ضبط Edge لاستخدام خدمة LDAP للمصادقة الخارجية بدلاً من الخدمة الداخلية. ويتم توضيح إجراءات هذه الإعدادات الخارجية في هذا المستند.

يخزِّن Edge أيضًا بيانات اعتماد التفويض للوصول المستند إلى الدور في مثيل LDAP منفصل داخلي. سواء ضبطت خدمة مصادقة خارجية أم لا، يتم تخزين بيانات اعتماد التفويض دائمًا في مثيل LDAP الداخلي هذا. يتضمّن هذا المستند شرحًا لإجراء إضافة المستخدمين الموجودين في نظام LDAP الخارجي إلى بروتوكول LDAP الخاص بتفويض Edge.

يُرجى العِلم أنّ المصادقة تشير إلى التحقّق من هوية المستخدم، بينما يشير الترخيص إلى مستوى الإذن الذي يتم منحه للمستخدم الذي تمت مصادقته لاستخدام ميزات Apigee Edge.

المعلومات التي تحتاج إلى معرفتها حول مصادقة وتفويض Edge

من المفيد التعرّف على الفرق بين المصادقة والترخيص وطريقة إدارة Apigee Edge لهذَين النشاطَين.

لمحة عن المصادقة

يجب مصادقة المستخدمين الذين يصلون إلى Apigee Edge إما من خلال واجهة المستخدم أو واجهات برمجة التطبيقات. يتم تلقائيًا تخزين بيانات اعتماد مستخدم Edge للمصادقة في مثيل OpenLDAP الداخلي. وفي العادة، يجب أن يسجّل المستخدمون حسابًا على Apigee أو يُطلب منهم التسجيل فيه، وعندئذٍ يجب أن يقدّموا اسم المستخدم وعنوان البريد الإلكتروني وبيانات اعتماد كلمة المرور وغيرها من البيانات الوصفية. ويتم تخزين هذه المعلومات وإدارتها من خلال مصادقة LDAP.

مع ذلك، إذا كنت تريد استخدام بروتوكول LDAP خارجي لإدارة بيانات اعتماد المستخدم نيابةً عن Edge، يمكنك إجراء ذلك من خلال ضبط Edge لاستخدام نظام LDAP الخارجي بدلاً من النظام الداخلي. عند ضبط خادم LDAP خارجي، يتم التحقق من بيانات اعتماد المستخدم من خلال ذلك المخزن الخارجي، كما هو موضّح في هذا المستند.

لمحة عن التفويض

ويمكن لمشرفي مؤسسة Edge منح أذونات محدّدة للمستخدمين للتفاعل مع كيانات Apigee Edge، مثل الخوادم الوكيلة لواجهة برمجة التطبيقات والمنتجات وذاكرة التخزين المؤقت وعمليات النشر وما إلى ذلك. ويتم منح الأذونات من خلال منح الأدوار للمستخدمين. يتضمن إصدار Edge العديد من الأدوار المدمجة، ويمكن لمشرفي المؤسسة تحديد أدوار مخصَّصة إذا لزم الأمر. على سبيل المثال، يمكن منح المستخدم الإذن (من خلال دور) لإنشاء الخوادم الوكيلة لواجهة برمجة التطبيقات وتعديلها، ولكن ليس لنشرها في بيئة إنتاج.

بيانات الاعتماد الرئيسية التي يستخدمها نظام تفويض Edge هي عنوان البريد الإلكتروني للمستخدم. يتم دائمًا تخزين بيانات الاعتماد هذه (إلى جانب بعض البيانات الوصفية الأخرى) في بروتوكول LDAP الداخلي للتفويض في Edge. بروتوكول LDAP هذا منفصل تمامًا عن مصادقة LDAP (سواء كانت داخلية أو خارجية).

يجب أيضًا تزويد المستخدمين الذين تمت مصادقتهم من خلال LDAP خارجي يدويًا في نظام LDAP للتفويض. يتم توضيح التفاصيل في هذا المستند.

لمزيد من المعلومات الأساسية عن التفويض وRBAC، يُرجى الاطّلاع على قسم إدارة مستخدمي المؤسسة وإسناد الأدوار.

لإلقاء نظرة أكثر تفصيلاً، يمكنك أيضًا الاطّلاع على فهم عملية مصادقة Edge وتدفقات التفويض.

فهم مصادقة الربط المباشرة وغير المباشرة

تتيح ميزة التفويض الخارجي مصادقة الربط المباشرة وغير المباشرة من خلال نظام LDAP الخارجي.

الملخّص: تتطلب المصادقة بالربط غير المباشر إجراء بحث على LDAP الخارجي عن بيانات الاعتماد التي تتطابق مع عنوان البريد الإلكتروني أو اسم المستخدم أو أي معرّف آخر يقدّمه المستخدم عند تسجيل الدخول. باستخدام مصادقة الربط المباشر، لا يتم إجراء أي بحث، بل يتم إرسال بيانات الاعتماد إلى خدمة LDAP والتحقق منها مباشرةً. تُعدّ مصادقة الربط المباشر أكثر كفاءةً لأنّها لا تتطلّب أي عمليات بحث.

لمحة عن مصادقة الربط غير المباشر

باستخدام مصادقة الربط غير المباشرة، يُدخِل المستخدم بيانات اعتماد، مثل عنوان بريد إلكتروني أو اسم مستخدم أو سمة أخرى، ونظام مصادقة عمليات بحث Edge عن بيانات الاعتماد/القيمة هذه. إذا نجحت نتيجة البحث، يستخلص النظام الاسم المميز لبروتوكول LDAP من نتائج البحث ويستخدمه مع كلمة مرور يتم تقديمها لمصادقة المستخدم.

النقطة الأساسية التي يجب معرفتها هي أن مصادقة الربط غير المباشرة تتطلب المتصل (على سبيل المثال، Apigee Edge) لتوفير بيانات اعتماد مشرف LDAP خارجية حتى يتمكن Edge من "تسجيل الدخول" إلى LDAP الخارجي وإجراء البحث. يجب تقديم بيانات الاعتماد هذه في ملف إعداد Edge، والذي يتم توضيحه لاحقًا في هذا المستند. يتم أيضًا وصف الخطوات لتشفير بيانات اعتماد كلمة المرور.

لمحة عن مصادقة الربط المباشر

باستخدام المصادقة بالربط المباشر، يرسل Edge بيانات الاعتماد التي يُدخلها المستخدم مباشرةً إلى نظام المصادقة الخارجي. في هذه الحالة، لا يتم إجراء أي بحث على النظام الخارجي. نجاح بيانات الاعتماد المقدَّمة أو تعذُّر تسجيل الدخول إليها (على سبيل المثال، إذا لم يكن المستخدم متاحًا في بروتوكول LDAP الخارجي أو إذا كانت كلمة المرور غير صحيحة، سيتعذّر تسجيل الدخول).

لا تتطلّب مصادقة الربط المباشر ضبط بيانات اعتماد المشرف لنظام المصادقة الخارجي في Apigee Edge (كما هو الحال مع المصادقة بالربط غير المباشر)، ومع ذلك، هناك خطوة ضبط بسيطة يجب تنفيذها، وسيتم توضيحها لاحقًا في هذا المستند.