احراز هویت خارجی

Edge for Private Cloud نسخه 4.16.09

این سند نحوه ادغام یک سرویس دایرکتوری خارجی را در نصب Apigee Edge Private Cloud توضیح می دهد. این ویژگی برای کار با هر سرویس دایرکتوری که از LDAP پشتیبانی می‌کند، مانند Active Directory، OpenLDAP و غیره طراحی شده است. تمام مراحل در اینجا گنجانده شده است تا Apigee Edge با سرویس LDAP شما کار کند.

یک راه حل خارجی LDAP به مدیران سیستم اجازه می دهد تا اعتبار کاربری را از یک سرویس مدیریت دایرکتوری متمرکز، خارج از سیستم هایی مانند Apigee Edge که از آنها استفاده می کنند، مدیریت کنند. ویژگی توضیح داده شده در این سند از تأیید صحت اتصال مستقیم و غیرمستقیم پشتیبانی می کند.

حضار

این سند فرض می‌کند که شما یک مدیر سیستم جهانی Apigee Edge برای Private Cloud هستید و یک حساب کاربری در سرویس فهرست خارجی دارید.

بررسی اجمالی

به‌طور پیش‌فرض، Apigee Edge از یک نمونه OpenLDAP داخلی برای ذخیره اعتبارنامه‌هایی که برای احراز هویت کاربر استفاده می‌شوند، استفاده می‌کند. با این حال، می‌توانید Edge را طوری پیکربندی کنید که به‌جای سرویس داخلی از یک سرویس LDAP احراز هویت خارجی استفاده کند. روش این پیکربندی خارجی در این سند توضیح داده شده است.

Edge همچنین اعتبار مجوز دسترسی مبتنی بر نقش را در یک نمونه LDAP داخلی جداگانه ذخیره می کند. چه یک سرویس احراز هویت خارجی را پیکربندی کنید یا نه، اعتبار مجوزها همیشه در این نمونه LDAP داخلی ذخیره می‌شوند. روش افزودن کاربرانی که در سیستم LDAP خارجی به LDAP مجوز Edge وجود دارند در این سند توضیح داده شده است.

توجه داشته باشید که احراز هویت به اعتبارسنجی هویت کاربر اشاره دارد، در حالی که مجوز به تأیید سطح مجوزی است که یک کاربر احراز هویت شده برای استفاده از ویژگی‌های Apigee Edge اعطا می‌شود.

آنچه باید در مورد احراز هویت و مجوز Edge بدانید

درک تفاوت بین احراز هویت و مجوز و نحوه مدیریت Apigee Edge این دو فعالیت مفید است.

درباره احراز هویت

کاربرانی که از طریق UI یا API به Apigee Edge دسترسی دارند باید احراز هویت شوند. به طور پیش فرض، اعتبار کاربری Edge برای احراز هویت در یک نمونه OpenLDAP داخلی ذخیره می شود. به طور معمول، کاربران باید ثبت نام کنند یا از آنها خواسته شود برای یک حساب Apigee ثبت نام کنند، و در آن زمان نام کاربری، آدرس ایمیل، اعتبار رمز عبور و سایر ابرداده های خود را ارائه می دهند. این اطلاعات در LDAP احراز هویت ذخیره شده و توسط آن مدیریت می شود.

با این حال، اگر می‌خواهید از یک LDAP خارجی برای مدیریت اعتبار کاربر از طرف Edge استفاده کنید، می‌توانید این کار را با پیکربندی Edge برای استفاده از سیستم LDAP خارجی به جای سیستم داخلی انجام دهید. هنگامی که یک LDAP خارجی پیکربندی می شود، اعتبار کاربر در برابر آن فروشگاه خارجی اعتبار سنجی می شود، همانطور که در این سند توضیح داده شده است.

درباره مجوز

مدیران سازمان Edge می‌توانند مجوزهای خاصی را برای تعامل با موجودیت‌های Apigee Edge مانند پراکسی‌های API، محصولات، حافظه پنهان، استقرار و غیره به کاربران اعطا کنند. مجوزها از طریق تخصیص نقش به کاربران اعطا می شوند. Edge شامل چندین نقش داخلی است و در صورت نیاز، مدیران سازمان می توانند نقش های سفارشی را تعریف کنند. به عنوان مثال، به یک کاربر می توان مجوز ایجاد و به روز رسانی پراکسی های API را (از طریق یک نقش) داد، اما نه اینکه آنها را در یک محیط تولید مستقر کند.

اعتبار کلیدی مورد استفاده توسط سیستم مجوز Edge آدرس ایمیل کاربر است . این اعتبار (همراه با برخی دیگر از ابرداده ها) همیشه در LDAP مجوز داخلی Edge ذخیره می شود. این LDAP کاملاً جدا از LDAP احراز هویت (چه داخلی یا خارجی) است.

کاربرانی که از طریق یک LDAP خارجی احراز هویت می شوند نیز باید به صورت دستی در سیستم مجوز LDAP ارائه شوند. جزئیات در این سند توضیح داده شده است.

برای پیشینه بیشتر در مورد مجوز و RBAC، به مدیریت کاربران سازمان و تخصیص نقش ها مراجعه کنید.

برای نمای عمیق‌تر، همچنین به درک جریان‌های احراز هویت و مجوز لبه مراجعه کنید.

درک احراز هویت الزام آور مستقیم و غیرمستقیم

ویژگی مجوز خارجی از تأیید صحت اتصال مستقیم و غیرمستقیم از طریق سیستم LDAP خارجی پشتیبانی می کند.

خلاصه : احراز هویت غیرمستقیم الزام آور نیاز به جستجو در LDAP خارجی برای اعتبارنامه‌هایی دارد که با آدرس ایمیل، نام کاربری یا شناسه دیگری که کاربر در هنگام ورود ارائه می‌کند مطابقت دارد. با احراز هویت اتصال مستقیم، هیچ جستجویی انجام نمی‌شود - اعتبارنامه‌ها مستقیماً به سرویس LDAP ارسال و تأیید می‌شوند. احراز هویت با اتصال مستقیم کارآمدتر در نظر گرفته می‌شود زیرا هیچ جستجویی در آن وجود ندارد.

درباره احراز هویت غیرمستقیم الزام آور

با احراز هویت غیرمستقیم اتصال، کاربر یک اعتبار مانند آدرس ایمیل، نام کاربری یا برخی ویژگی‌های دیگر را وارد می‌کند و Edge سیستم احراز هویت را برای این اعتبار/مقدار جستجو می‌کند. اگر نتیجه جستجو موفقیت آمیز باشد، سیستم LDAP DN را از نتایج جستجو استخراج می کند و از آن با رمز عبور ارائه شده برای احراز هویت کاربر استفاده می کند.

نکته کلیدی که باید بدانید این است که احراز هویت غیرمستقیم الزام آور به تماس گیرنده (به عنوان مثال، Apigee Edge) نیاز دارد تا اعتبار مدیریت LDAP خارجی را ارائه دهد تا Edge بتواند به LDAP خارجی "ورود" شود و جستجو را انجام دهد. شما باید این اعتبارنامه ها را در یک فایل پیکربندی Edge ارائه کنید، که در ادامه این سند توضیح داده شده است. مراحل رمزگذاری رمز عبور نیز شرح داده شده است.

درباره احراز هویت با اتصال مستقیم

با احراز هویت اتصال مستقیم، Edge اعتبار وارد شده توسط کاربر را مستقیماً به سیستم احراز هویت خارجی ارسال می کند. در این حالت هیچ جستجویی در سیستم خارجی انجام نمی شود. اعتبار ارائه شده یا موفق می شود یا ناموفق است (به عنوان مثال، اگر کاربر در LDAP خارجی حضور نداشته باشد یا اگر رمز عبور نادرست باشد، ورود ناموفق خواهد شد).

احراز هویت با اتصال مستقیم نیازی به پیکربندی اعتبار مدیریت برای سیستم احراز هویت خارجی در Apigee Edge ندارد (مانند تأیید صحت غیر مستقیم). با این حال، یک مرحله پیکربندی ساده وجود دارد که باید انجام دهید، که در ادامه این سند توضیح داده شده است.