ব্যক্তিগত ক্লাউডের জন্য প্রান্ত v. 4.16.09
এই নথিটি ব্যাখ্যা করে যে কীভাবে একটি বিদ্যমান Apigee Edge প্রাইভেট ক্লাউড ইনস্টলেশনে একটি বহিরাগত ডিরেক্টরি পরিষেবাকে একীভূত করতে হয়। এই বৈশিষ্ট্যটি LDAP সমর্থন করে এমন যেকোন ডিরেক্টরি পরিষেবার সাথে কাজ করার জন্য ডিজাইন করা হয়েছে, যেমন Active Directory, OpenLDAP, এবং অন্যান্য। Apigee Edge আপনার LDAP পরিষেবার সাথে কাজ করার জন্য সমস্ত পদক্ষেপ এখানে অন্তর্ভুক্ত করা হয়েছে।
একটি বাহ্যিক LDAP সমাধান সিস্টেম অ্যাডমিনিস্ট্রেটরদের একটি কেন্দ্রীভূত ডিরেক্টরি পরিচালনা পরিষেবা থেকে ব্যবহারকারীর শংসাপত্রগুলি পরিচালনা করতে দেয়, এপিজি এজ-এর মতো সিস্টেমের বাইরে যা সেগুলি ব্যবহার করে। এই নথিতে বর্ণিত বৈশিষ্ট্যটি প্রত্যক্ষ এবং পরোক্ষ আবদ্ধ প্রমাণীকরণ উভয়কেই সমর্থন করে।
শ্রোতা
এই নথিটি অনুমান করে যে আপনি ব্যক্তিগত ক্লাউড গ্লোবাল সিস্টেম অ্যাডমিনিস্ট্রেটরের জন্য একজন Apigee এজ এবং আপনার বহিরাগত ডিরেক্টরি পরিষেবার একটি অ্যাকাউন্ট রয়েছে৷
ওভারভিউ
ডিফল্টরূপে, Apigee Edge ব্যবহারকারীর প্রমাণীকরণের জন্য ব্যবহৃত শংসাপত্রগুলি সংরক্ষণ করতে একটি অভ্যন্তরীণ OpenLDAP উদাহরণ ব্যবহার করে। যাইহোক, আপনি অভ্যন্তরীণ একটির পরিবর্তে একটি বহিরাগত প্রমাণীকরণ LDAP পরিষেবা ব্যবহার করতে এজ কনফিগার করতে পারেন। এই বাহ্যিক কনফিগারেশনের পদ্ধতি এই নথিতে ব্যাখ্যা করা হয়েছে।
এজ একটি পৃথক, অভ্যন্তরীণ LDAP দৃষ্টান্তে ভূমিকা-ভিত্তিক অ্যাক্সেস অনুমোদনের প্রমাণপত্র সঞ্চয় করে। আপনি একটি বহিরাগত প্রমাণীকরণ পরিষেবা কনফিগার করুন বা না করুন, অনুমোদনের শংসাপত্রগুলি সর্বদা এই অভ্যন্তরীণ LDAP উদাহরণে সংরক্ষণ করা হয়। বহিরাগত LDAP সিস্টেমে বিদ্যমান ব্যবহারকারীদের এজ অনুমোদন LDAP-তে যুক্ত করার পদ্ধতি এই নথিতে ব্যাখ্যা করা হয়েছে।
মনে রাখবেন যে প্রমাণীকরণ একটি ব্যবহারকারীর পরিচয় যাচাই করাকে বোঝায়, যখন অনুমোদন বলতে Apigee এজ বৈশিষ্ট্যগুলি ব্যবহার করার জন্য একজন প্রমাণীকৃত ব্যবহারকারীকে দেওয়া অনুমতির স্তর যাচাই করা বোঝায়।
এজ প্রমাণীকরণ এবং অনুমোদন সম্পর্কে আপনার যা জানা দরকার
প্রমাণীকরণ এবং অনুমোদনের মধ্যে পার্থক্য এবং কীভাবে Apigee Edge এই দুটি ক্রিয়াকলাপ পরিচালনা করে তা বোঝার জন্য এটি কার্যকর।
প্রমাণীকরণ সম্পর্কে
যে ব্যবহারকারীরা UI বা API-এর মাধ্যমে Apigee Edge অ্যাক্সেস করেন তাদের অবশ্যই প্রমাণীকৃত হতে হবে। ডিফল্টরূপে, প্রমাণীকরণের জন্য এজ ব্যবহারকারীর শংসাপত্রগুলি একটি অভ্যন্তরীণ OpenLDAP উদাহরণে সংরক্ষণ করা হয়। সাধারণত, ব্যবহারকারীদের অবশ্যই নিবন্ধন করতে হবে বা একটি Apigee অ্যাকাউন্টের জন্য নিবন্ধন করতে বলা হবে এবং সেই সময়ে তারা তাদের ব্যবহারকারীর নাম, ইমেল ঠিকানা, পাসওয়ার্ড শংসাপত্র এবং অন্যান্য মেটাডেটা সরবরাহ করবে। এই তথ্য LDAP প্রমাণীকরণ দ্বারা সংরক্ষিত এবং পরিচালিত হয়।
যাইহোক, আপনি যদি এজের পক্ষে ব্যবহারকারীর শংসাপত্রগুলি পরিচালনা করার জন্য একটি বাহ্যিক LDAP ব্যবহার করতে চান, তাহলে আপনি অভ্যন্তরীণটির পরিবর্তে বহিরাগত LDAP সিস্টেম ব্যবহার করার জন্য এজ কনফিগার করে তা করতে পারেন। যখন একটি বাহ্যিক LDAP কনফিগার করা হয়, তখন ব্যবহারকারীর শংসাপত্রগুলি সেই বহিরাগত স্টোরের বিরুদ্ধে যাচাই করা হয়, যেমন এই নথিতে ব্যাখ্যা করা হয়েছে।
অনুমোদন সম্পর্কে
এজ সংস্থার প্রশাসকগণ API প্রক্সি, পণ্য, ক্যাশে, স্থাপনা ইত্যাদির মতো Apigee Edge এন্টিটির সাথে ইন্টারঅ্যাক্ট করার জন্য ব্যবহারকারীদের নির্দিষ্ট অনুমতি দিতে পারেন। ব্যবহারকারীদের ভূমিকা নির্ধারণের মাধ্যমে অনুমতি দেওয়া হয়। এজ-এ বেশ কয়েকটি অন্তর্নির্মিত ভূমিকা রয়েছে এবং, যদি প্রয়োজন হয়, সংগঠন প্রশাসকরা কাস্টম ভূমিকাগুলি সংজ্ঞায়িত করতে পারেন। উদাহরণস্বরূপ, একজন ব্যবহারকারীকে API প্রক্সি তৈরি এবং আপডেট করার জন্য অনুমোদন (একটি ভূমিকার মাধ্যমে) মঞ্জুর করা যেতে পারে, তবে সেগুলিকে একটি উত্পাদন পরিবেশে স্থাপন করার জন্য নয়।
এজ অনুমোদন সিস্টেম দ্বারা ব্যবহৃত মূল শংসাপত্র হল ব্যবহারকারীর ইমেল ঠিকানা । এই শংসাপত্রটি (কিছু অন্যান্য মেটাডেটা সহ) সর্বদা এজের অভ্যন্তরীণ অনুমোদন LDAP-এ সংরক্ষিত থাকে। এই LDAP প্রমাণীকরণ LDAP থেকে সম্পূর্ণ আলাদা (হোক অভ্যন্তরীণ বা বাহ্যিক)।
বহিরাগত LDAP-এর মাধ্যমে প্রমাণীকৃত ব্যবহারকারীদেরও ম্যানুয়ালি অনুমোদন LDAP সিস্টেমে প্রবিধান করতে হবে। বিস্তারিত এই নথিতে ব্যাখ্যা করা হয়েছে.
অনুমোদন এবং RBAC সম্পর্কে আরও পটভূমির জন্য, সংস্থার ব্যবহারকারীদের পরিচালনা এবং ভূমিকা বরাদ্দ করা দেখুন।
আরও গভীর দৃষ্টিভঙ্গির জন্য, এজ প্রমাণীকরণ এবং অনুমোদনের প্রবাহ বোঝাও দেখুন।
প্রত্যক্ষ এবং পরোক্ষ বাধ্যতামূলক প্রমাণীকরণ বোঝা
বাহ্যিক অনুমোদন বৈশিষ্ট্য বহিরাগত LDAP সিস্টেমের মাধ্যমে প্রত্যক্ষ এবং পরোক্ষ বাঁধাই প্রমাণীকরণ সমর্থন করে।
সারাংশ : পরোক্ষ বাইন্ডিং প্রমাণীকরণের জন্য বহিরাগত LDAP-তে শংসাপত্রের জন্য অনুসন্ধানের প্রয়োজন হয় যা লগইন করার সময় ব্যবহারকারীর দ্বারা সরবরাহ করা ইমেল ঠিকানা, ব্যবহারকারীর নাম বা অন্যান্য আইডির সাথে মেলে। সরাসরি বাইন্ডিং প্রমাণীকরণের সাথে, কোন অনুসন্ধান করা হয় না - শংসাপত্রগুলি সরাসরি LDAP পরিষেবা দ্বারা পাঠানো হয় এবং যাচাই করা হয়। সরাসরি বাইন্ডিং প্রমাণীকরণকে আরও দক্ষ বলে মনে করা হয় কারণ সেখানে কোন অনুসন্ধান জড়িত নেই।
পরোক্ষ বাঁধাই প্রমাণীকরণ সম্পর্কে
পরোক্ষ বাইন্ডিং প্রমাণীকরণের সাথে, ব্যবহারকারী একটি শংসাপত্র প্রবেশ করে, যেমন একটি ইমেল ঠিকানা, ব্যবহারকারীর নাম, বা অন্য কিছু বৈশিষ্ট্য, এবং এজ এই শংসাপত্র/মানটির জন্য প্রমাণীকরণ সিস্টেম অনুসন্ধান করে। অনুসন্ধানের ফলাফল সফল হলে, সিস্টেম অনুসন্ধান ফলাফল থেকে LDAP DN বের করে এবং ব্যবহারকারীকে প্রমাণীকরণের জন্য একটি প্রদত্ত পাসওয়ার্ড দিয়ে ব্যবহার করে।
জানার মূল বিষয় হল যে পরোক্ষ বাইন্ডিং প্রমাণীকরণের জন্য কলারকে (যেমন, Apigee Edge) বহিরাগত LDAP অ্যাডমিন শংসাপত্র প্রদান করতে হবে যাতে এজ বাহ্যিক LDAP-এ "লগ ইন" করতে পারে এবং অনুসন্ধান করতে পারে। আপনাকে অবশ্যই একটি এজ কনফিগারেশন ফাইলে এই শংসাপত্রগুলি প্রদান করতে হবে, যা এই নথিতে পরে বর্ণিত হয়েছে। পাসওয়ার্ড শংসাপত্র এনক্রিপ্ট করার জন্য পদক্ষেপগুলিও বর্ণনা করা হয়েছে।
সরাসরি বাঁধাই প্রমাণীকরণ সম্পর্কে
ডাইরেক্ট বাইন্ডিং প্রমাণীকরণের সাথে, এজ একজন ব্যবহারকারী দ্বারা প্রবেশ করা শংসাপত্রগুলি সরাসরি বহিরাগত প্রমাণীকরণ সিস্টেমে পাঠায়। এই ক্ষেত্রে, বাহ্যিক সিস্টেমে কোনও অনুসন্ধান করা হয় না। হয় প্রদত্ত শংসাপত্রগুলি সফল হয় বা সেগুলি ব্যর্থ হয় (যেমন, যদি ব্যবহারকারী বহিরাগত LDAP-এ উপস্থিত না থাকে বা পাসওয়ার্ডটি ভুল হলে, লগইন ব্যর্থ হবে)।
ডাইরেক্ট বাইন্ডিং প্রমাণীকরণের জন্য আপনাকে Apigee এজ-এ বাহ্যিক প্রমাণীকরণ সিস্টেমের জন্য অ্যাডমিন শংসাপত্রগুলি কনফিগার করার প্রয়োজন নেই (যেমন পরোক্ষ বাইন্ডিং প্রমাণীকরণের সাথে); যাইহোক, একটি সাধারণ কনফিগারেশন ধাপ রয়েছে যা আপনাকে অবশ্যই সম্পাদন করতে হবে, যা এই নথিতে পরে বর্ণিত হয়েছে।