Edge for Private Cloud वर्शन 4.16.09
इस दस्तावेज़ में, मौजूदा Apigee Edge Private Cloud इंस्टॉलेशन में बाहरी डायरेक्ट्री सेवा को इंटिग्रेट करने का तरीका बताया गया है. यह सुविधा, LDAP के साथ काम करने वाली किसी भी डायरेक्ट्री सेवा के साथ काम करती है. इनमें Active Directory, OpenLDAP वगैरह शामिल हैं. आपकी LDAP सेवा के साथ Apigee Edge काम कर सके, इसके लिए यहां सभी चरण शामिल किए गए हैं.
बाहरी LDAP समाधान की मदद से सिस्टम एडमिन, सेंट्रलाइज़्ड डायरेक्ट्री मैनेजमेंट सेवा से उपयोगकर्ता के क्रेडेंशियल मैनेज कर सकते हैं. यह उनका इस्तेमाल करने वाले Apigee Edge जैसे सिस्टम से बाहर है. इस दस्तावेज़ में जिस सुविधा के बारे में बताया गया है वह पुष्टि करने की प्रक्रिया को सीधे तौर पर और इनडायरेक्ट, दोनों के साथ काम करती है.
दर्शक
यह दस्तावेज़ मानता है कि आप प्राइवेट क्लाउड ग्लोबल सिस्टम एडमिन के लिए Apigee Edge हैं और आपके पास बाहरी डायरेक्ट्री सेवा के लिए खाता है.
खास जानकारी
डिफ़ॉल्ट रूप से, Apigee Edge, उपयोगकर्ता की पुष्टि करने के लिए इस्तेमाल होने वाले क्रेडेंशियल सेव करने के लिए, इंटरनल OpenLDAP इंस्टेंस का इस्तेमाल करता है. हालांकि, Edge को कॉन्फ़िगर करने के लिए यह पक्का किया जा सकता है कि अंदरूनी तौर पर पुष्टि करने वाली LDAP सेवा के बजाय, बाहरी पुष्टि करने वाली LDAP सेवा का इस्तेमाल किया जाए. इस दस्तावेज़ में, इस बाहरी कॉन्फ़िगरेशन के बारे में ज़्यादा जानकारी दी गई है.
Edge, भूमिका के हिसाब से ऐक्सेस के अनुमति क्रेडेंशियल भी एक अलग, अंदरूनी LDAP इंस्टेंस में सेव करता है. चाहे आप बाहरी पुष्टि करने वाली सेवा को कॉन्फ़िगर करें या न करें, अनुमति देने वाले क्रेडेंशियल हमेशा इस अंदरूनी LDAP इंस्टेंस में सेव किए जाते हैं. इस दस्तावेज़ में, बाहरी LDAP सिस्टम में मौजूद उपयोगकर्ताओं को Edge की अनुमति देने वाले LDAP में जोड़ने की प्रोसेस के बारे में बताया गया है.
ध्यान दें कि पुष्टि करने का मतलब उपयोगकर्ता की पहचान की पुष्टि करना है. वहीं, अनुमति देने का मतलब है कि Apigee Edge की सुविधाओं को इस्तेमाल करने के लिए, किसी पुष्टि किए गए उपयोगकर्ता को मिली अनुमति के लेवल की पुष्टि करना.
Edge की पुष्टि करने और अनुमति देने के बारे में ज़रूरी जानकारी
इससे, पुष्टि करने और अनुमति देने के बीच के फ़र्क़ को समझने में मदद मिलती है. साथ ही, यह भी समझने में मदद मिलती है कि Apigee Edge, इन दोनों गतिविधियों को कैसे मैनेज करता है.
पुष्टि करने के बारे में जानकारी
यूज़र इंटरफ़ेस (यूआई) या एपीआई के ज़रिए Apigee Edge को ऐक्सेस करने वाले उपयोगकर्ताओं की पुष्टि होना ज़रूरी है. डिफ़ॉल्ट रूप से, पुष्टि करने के लिए Edge उपयोगकर्ता के क्रेडेंशियल, इंटरनल OpenLDAP इंस्टेंस में सेव किए जाते हैं. आम तौर पर, उपयोगकर्ताओं को Apigee खाता रजिस्टर करना चाहिए या रजिस्टर करने के लिए कहा जाना चाहिए. इस दौरान, वे अपना उपयोगकर्ता नाम, ईमेल पता, पासवर्ड क्रेडेंशियल, और अन्य मेटाडेटा देते हैं. यह जानकारी पुष्टि करने वाले LDAP में सेव और मैनेज की जाती है.
हालांकि, अगर आपको Edge की ओर से उपयोगकर्ता क्रेडेंशियल मैनेज करने के लिए बाहरी LDAP का इस्तेमाल करना है, तो Edge को कॉन्फ़िगर करके ऐसा किया जा सकता है, ताकि अंदरूनी LDAP सिस्टम का इस्तेमाल करने के बजाय, बाहरी LDAP सिस्टम का इस्तेमाल किया जा सके. जब किसी बाहरी LDAP को कॉन्फ़िगर किया जाता है, तो उस बाहरी स्टोर के लिए उपयोगकर्ता के क्रेडेंशियल की पुष्टि की जाती है. इस बारे में इस दस्तावेज़ में बताया गया है.
अनुमति के बारे में जानकारी
एज संगठन के एडमिन, उपयोगकर्ताओं को Apigee Edge की इकाइयों से इंटरैक्ट करने के लिए खास अनुमतियां दे सकते हैं. इनमें, एपीआई प्रॉक्सी, प्रॉडक्ट, कैश, डिप्लॉयमेंट वगैरह शामिल हैं. उपयोगकर्ताओं को भूमिकाएं असाइन करके, अनुमतियां दी जाती हैं. Edge में कई पहले से मौजूद भूमिकाएं होती हैं. साथ ही, ज़रूरत पड़ने पर संगठन के एडमिन, पसंद के मुताबिक भूमिकाएं तय कर सकते हैं. उदाहरण के लिए, किसी उपयोगकर्ता को एपीआई प्रॉक्सी बनाने और अपडेट करने के लिए, अनुमति (किसी भूमिका के ज़रिए) दी जा सकती है, लेकिन उसे प्रोडक्शन एनवायरमेंट में डिप्लॉय नहीं किया जा सकता.
Edge ऑथराइज़ेशन सिस्टम जिस मुख्य क्रेडेंशियल का इस्तेमाल करता है वह उपयोगकर्ता का ईमेल पता होता है. इस क्रेडेंशियल (कुछ दूसरे मेटाडेटा के साथ) को हमेशा Edge के अंदरूनी अनुमति देने वाले एलडीएपी में सेव किया जाता है. यह LDAP, पुष्टि करने वाले LDAP (चाहे इंटरनल या बाहरी हो) से पूरी तरह अलग है.
जिन उपयोगकर्ताओं की पुष्टि बाहरी LDAP से की गई है उन्हें भी अनुमति देने वाले LDAP सिस्टम में मैन्युअल रूप से प्रावधान करना होगा. इस दस्तावेज़ में, इससे जुड़ी पूरी जानकारी दी गई है.
अनुमति देने और आरबीएसी के बारे में ज़्यादा जानने के लिए, संगठन के उपयोगकर्ताओं को मैनेज करना और भूमिकाएं असाइन करना लेख पढ़ें.
ज़्यादा जानकारी के लिए, Edge की पुष्टि करने और ऑथराइज़ेशन फ़्लो को समझना भी देखें.
डायरेक्ट और इनडायरेक्ट बाइंडिंग ऑथेंटिकेशन को समझना
अनुमति देने वाली बाहरी सुविधा, बाहरी एलडीएपी सिस्टम के ज़रिए डायरेक्ट और इंडायरेक्ट बाइंडिंग पुष्टि, दोनों के साथ काम करती है.
खास जानकारी: इनडायरेक्ट बाइंडिंग पुष्टि के लिए बाहरी LDAP पर क्रेडेंशियल खोजने की ज़रूरत होती है, जो उपयोगकर्ता के लॉगिन के समय दिए गए ईमेल पते, उपयोगकर्ता नाम या दूसरे आईडी से मेल खाते हैं. डायरेक्ट बाइंडिंग ऑथेंटिकेशन के साथ, कोई खोज नहीं की जाती-- क्रेडेंशियल सीधे LDAP सेवा को भेजे जाते हैं और उसकी मदद से पुष्टि की जाती है. डायरेक्ट बाइंडिंग ऑथेंटिकेशन को ज़्यादा असरदार माना जाता है, क्योंकि इसमें किसी तरह की खोज नहीं की जाती.
इनडायरेक्ट बाइंडिंग ऑथेंटिकेशन के बारे में जानकारी
इंडायरेक्ट बाइंडिंग ऑथेंटिकेशन के साथ, उपयोगकर्ता एक क्रेडेंशियल जैसे कि ईमेल पता, उपयोगकर्ता नाम या कोई दूसरा एट्रिब्यूट डालता है. साथ ही, इस क्रेडेंशियल/वैल्यू के लिए EDGE में पुष्टि करने वाला सिस्टम खोजता है. खोज का नतीजा मिलने पर, सिस्टम खोज के नतीजों से LDAP डीएन को निकाल लेता है और उपयोगकर्ता की पुष्टि करने के लिए उसे दिए गए पासवर्ड का इस्तेमाल करता है.
अहम जानकारी यह है कि इनडायरेक्ट बाइंडिंग ऑथेंटिकेशन के लिए कॉलर (उदाहरण के लिए, Apigee Edge) का इस्तेमाल करके, बाहरी LDAP एडमिन क्रेडेंशियल देने के लिए कहा जा सकता है, ताकि Edge बाहरी LDAP में "लॉग इन" कर सके और खोज कर सके. आपको ये क्रेडेंशियल एक Edge कॉन्फ़िगरेशन फ़ाइल में देने होंगे, जिसके बारे में इस दस्तावेज़ में आगे बताया गया है. पासवर्ड क्रेडेंशियल को एन्क्रिप्ट (सुरक्षित) करने का तरीका भी बताया गया है.
डायरेक्ट बाइंडिंग ऑथेंटिकेशन के बारे में जानकारी
डायरेक्ट बाइंडिंग ऑथेंटिकेशन की मदद से, उपयोगकर्ता उपयोगकर्ता के डाले गए क्रेडेंशियल को सीधे बाहरी ऑथेंटिकेशन सिस्टम को भेज देता है. इस स्थिति में, बाहरी सिस्टम पर कोई खोज नहीं की जाती. दिया गया क्रेडेंशियल लागू हो गया है या हो गया है. उदाहरण के लिए, अगर उपयोगकर्ता बाहरी LDAP में मौजूद नहीं है या पासवर्ड गलत है, तो लॉगिन नहीं हो पाएगा.
डायरेक्ट बाइंडिंग ऑथेंटिकेशन के लिए आपको Apigee Edge में बाहरी पुष्टि करने वाले सिस्टम के लिए, एडमिन क्रेडेंशियल कॉन्फ़िगर करने की ज़रूरत नहीं होती है. हालांकि, इनडायरेक्ट बाइंडिंग ऑथेंटिकेशन की तरह ही आपको एक आसान कॉन्फ़िगरेशन चरण पूरा करना होगा, जिसके बारे में इस दस्तावेज़ में आगे बताया गया है.