Edge for Private Cloud نسخه 4.16.09
این سند نحوه ادغام یک سرویس دایرکتوری خارجی را در نصب Apigee Edge Private Cloud توضیح می دهد. این ویژگی برای کار با هر سرویس دایرکتوری که از LDAP پشتیبانی میکند، مانند Active Directory، OpenLDAP و غیره طراحی شده است. تمام مراحل در اینجا گنجانده شده است تا Apigee Edge با سرویس LDAP شما کار کند.
یک راه حل خارجی LDAP به مدیران سیستم اجازه می دهد تا اعتبار کاربری را از یک سرویس مدیریت دایرکتوری متمرکز، خارج از سیستم هایی مانند Apigee Edge که از آنها استفاده می کنند، مدیریت کنند. ویژگی توضیح داده شده در این سند از تأیید صحت اتصال مستقیم و غیرمستقیم پشتیبانی می کند.
حضار
این سند فرض میکند که شما یک مدیر سیستم جهانی Apigee Edge برای Private Cloud هستید و یک حساب کاربری در سرویس فهرست خارجی دارید.
بررسی اجمالی
بهطور پیشفرض، Apigee Edge از یک نمونه OpenLDAP داخلی برای ذخیره اعتبارنامههایی که برای احراز هویت کاربر استفاده میشوند، استفاده میکند. با این حال، میتوانید Edge را طوری پیکربندی کنید که بهجای سرویس داخلی از یک سرویس LDAP احراز هویت خارجی استفاده کند. روش این پیکربندی خارجی در این سند توضیح داده شده است.
Edge همچنین اعتبار مجوز دسترسی مبتنی بر نقش را در یک نمونه LDAP داخلی جداگانه ذخیره می کند. چه یک سرویس احراز هویت خارجی را پیکربندی کنید یا نه، اعتبار مجوزها همیشه در این نمونه LDAP داخلی ذخیره میشوند. روش افزودن کاربرانی که در سیستم LDAP خارجی به LDAP مجوز Edge وجود دارند در این سند توضیح داده شده است.
توجه داشته باشید که احراز هویت به اعتبارسنجی هویت کاربر اشاره دارد، در حالی که مجوز به تأیید سطح مجوزی است که یک کاربر احراز هویت شده برای استفاده از ویژگیهای Apigee Edge اعطا میشود.
آنچه باید در مورد احراز هویت و مجوز Edge بدانید
درک تفاوت بین احراز هویت و مجوز و نحوه مدیریت Apigee Edge این دو فعالیت مفید است.
درباره احراز هویت
کاربرانی که از طریق UI یا API به Apigee Edge دسترسی دارند باید احراز هویت شوند. به طور پیش فرض، اعتبار کاربری Edge برای احراز هویت در یک نمونه OpenLDAP داخلی ذخیره می شود. به طور معمول، کاربران باید ثبت نام کنند یا از آنها خواسته شود برای یک حساب Apigee ثبت نام کنند، و در آن زمان نام کاربری، آدرس ایمیل، اعتبار رمز عبور و سایر ابرداده های خود را ارائه می دهند. این اطلاعات در LDAP احراز هویت ذخیره شده و توسط آن مدیریت می شود.
با این حال، اگر میخواهید از یک LDAP خارجی برای مدیریت اعتبار کاربر از طرف Edge استفاده کنید، میتوانید این کار را با پیکربندی Edge برای استفاده از سیستم LDAP خارجی به جای سیستم داخلی انجام دهید. هنگامی که یک LDAP خارجی پیکربندی می شود، اعتبار کاربر در برابر آن فروشگاه خارجی اعتبار سنجی می شود، همانطور که در این سند توضیح داده شده است.
درباره مجوز
مدیران سازمان Edge میتوانند مجوزهای خاصی را برای تعامل با موجودیتهای Apigee Edge مانند پراکسیهای API، محصولات، حافظه پنهان، استقرار و غیره به کاربران اعطا کنند. مجوزها از طریق تخصیص نقش به کاربران اعطا می شوند. Edge شامل چندین نقش داخلی است و در صورت نیاز، مدیران سازمان می توانند نقش های سفارشی را تعریف کنند. به عنوان مثال، به یک کاربر می توان مجوز ایجاد و به روز رسانی پراکسی های API را (از طریق یک نقش) داد، اما نه اینکه آنها را در یک محیط تولید مستقر کند.
اعتبار کلیدی مورد استفاده توسط سیستم مجوز Edge آدرس ایمیل کاربر است . این اعتبار (همراه با برخی دیگر از ابرداده ها) همیشه در LDAP مجوز داخلی Edge ذخیره می شود. این LDAP کاملاً جدا از LDAP احراز هویت (چه داخلی یا خارجی) است.
کاربرانی که از طریق یک LDAP خارجی احراز هویت می شوند نیز باید به صورت دستی در سیستم مجوز LDAP ارائه شوند. جزئیات در این سند توضیح داده شده است.
برای پیشینه بیشتر در مورد مجوز و RBAC، به مدیریت کاربران سازمان و تخصیص نقش ها مراجعه کنید.
برای نمای عمیقتر، همچنین به درک جریانهای احراز هویت و مجوز لبه مراجعه کنید.
درک احراز هویت الزام آور مستقیم و غیرمستقیم
ویژگی مجوز خارجی از تأیید صحت اتصال مستقیم و غیرمستقیم از طریق سیستم LDAP خارجی پشتیبانی می کند.
خلاصه : احراز هویت غیرمستقیم الزام آور نیاز به جستجو در LDAP خارجی برای اعتبارنامههایی دارد که با آدرس ایمیل، نام کاربری یا شناسه دیگری که کاربر در هنگام ورود ارائه میکند مطابقت دارد. با احراز هویت اتصال مستقیم، هیچ جستجویی انجام نمیشود - اعتبارنامهها مستقیماً به سرویس LDAP ارسال و تأیید میشوند. احراز هویت با اتصال مستقیم کارآمدتر در نظر گرفته میشود زیرا هیچ جستجویی در آن وجود ندارد.
درباره احراز هویت غیرمستقیم الزام آور
با احراز هویت غیرمستقیم اتصال، کاربر یک اعتبار مانند آدرس ایمیل، نام کاربری یا برخی ویژگیهای دیگر را وارد میکند و Edge سیستم احراز هویت را برای این اعتبار/مقدار جستجو میکند. اگر نتیجه جستجو موفقیت آمیز باشد، سیستم LDAP DN را از نتایج جستجو استخراج می کند و از آن با رمز عبور ارائه شده برای احراز هویت کاربر استفاده می کند.
نکته کلیدی که باید بدانید این است که احراز هویت غیرمستقیم الزام آور به تماس گیرنده (به عنوان مثال، Apigee Edge) نیاز دارد تا اعتبار مدیریت LDAP خارجی را ارائه دهد تا Edge بتواند به LDAP خارجی "ورود" شود و جستجو را انجام دهد. شما باید این اعتبارنامه ها را در یک فایل پیکربندی Edge ارائه کنید، که در ادامه این سند توضیح داده شده است. مراحل رمزگذاری رمز عبور نیز شرح داده شده است.
درباره احراز هویت با اتصال مستقیم
با احراز هویت اتصال مستقیم، Edge اعتبار وارد شده توسط کاربر را مستقیماً به سیستم احراز هویت خارجی ارسال می کند. در این حالت هیچ جستجویی در سیستم خارجی انجام نمی شود. اعتبار ارائه شده یا موفق می شود یا ناموفق است (به عنوان مثال، اگر کاربر در LDAP خارجی حضور نداشته باشد یا اگر رمز عبور نادرست باشد، ورود ناموفق خواهد شد).
احراز هویت با اتصال مستقیم نیازی به پیکربندی اعتبار مدیریت برای سیستم احراز هویت خارجی در Apigee Edge ندارد (مانند تأیید صحت غیر مستقیم). با این حال، یک مرحله پیکربندی ساده وجود دارد که باید انجام دهید، که در ادامه این سند توضیح داده شده است.