Edge per Private Cloud v. 4.16.09
Questo documento spiega come integrare un servizio di directory esterno in un'installazione Apigee Edge Private Cloud esistente. Questa funzionalità è progettata per funzionare con qualsiasi servizio di directory che supporti LDAP, come Active Directory, OpenLDAP e altri. Qui sono inclusi tutti i passaggi per far funzionare Apigee Edge con il tuo servizio LDAP.
Una soluzione LDAP esterna consente agli amministratori di sistema di gestire le credenziali utente da un servizio di gestione delle directory centralizzato all'esterno dei sistemi che le utilizzano, ad esempio Apigee Edge. La funzionalità descritta in questo documento supporta l'autenticazione di associazione diretta e indiretta.
Pubblico
Questo documento presuppone che tu sia un amministratore di sistema globale di Apigee Edge per Cloud privato e che disponga di un account per il servizio di directory esterna.
Panoramica
Per impostazione predefinita, Apigee Edge utilizza un'istanza OpenLDAP interna per archiviare le credenziali utilizzate per l'autenticazione degli utenti. Tuttavia, puoi configurare Edge in modo che utilizzi un servizio LDAP di autenticazione esterna anziché quello interno. La procedura per questa configurazione esterna è spiegata in questo documento.
Edge archivia inoltre le credenziali di autorizzazione di accesso basate sui ruoli in un'istanza LDAP interna separata. Indipendentemente dalla configurazione di un servizio di autenticazione esterno, le credenziali di autorizzazione vengono sempre archiviate in questa istanza LDAP interna. In questo documento viene spiegata la procedura per aggiungere gli utenti esistenti nel sistema LDAP esterno al protocollo LDAP di autorizzazione perimetrale.
Tieni presente che con autenticazione si intende la convalida dell'identità di un utente, mentre l'autorizzazione si riferisce alla verifica del livello di autorizzazione concesso a un utente autenticato per utilizzare le funzionalità di Apigee Edge.
Cosa devi sapere sull'autenticazione e sull'autorizzazione Edge
È utile comprendere la differenza tra autenticazione e autorizzazione e come Apigee Edge gestisce queste due attività.
Informazioni sull'autenticazione
Gli utenti che accedono ad Apigee Edge tramite la UI o le API devono essere autenticati. Per impostazione predefinita, le credenziali utente Edge per l'autenticazione vengono archiviate in un'istanza OpenLDAP interna. In genere, gli utenti devono registrarsi o ricevere una richiesta di registrazione per un account Apigee e a quel punto devono fornire nome utente, indirizzo email, credenziali della password e altri metadati. Queste informazioni vengono archiviate e gestite dal server LDAP di autenticazione.
Tuttavia, se vuoi utilizzare un LDAP esterno per gestire le credenziali utente per conto di Edge, puoi farlo configurando Edge in modo che utilizzi il sistema LDAP esterno anziché quello interno. Se viene configurato un LDAP esterno, le credenziali utente vengono convalidate in base all'archivio esterno, come spiegato in questo documento.
Informazioni sull'autorizzazione
Gli amministratori dell'organizzazione perimetrale possono concedere agli utenti autorizzazioni specifiche per interagire con entità Apigee Edge come proxy API, prodotti, cache, deployment e così via. Le autorizzazioni vengono concesse attraverso l'assegnazione di ruoli agli utenti. Edge include diversi ruoli integrati e, se necessario, gli amministratori dell'organizzazione possono definire ruoli personalizzati. Ad esempio, a un utente può essere concessa l'autorizzazione (tramite un ruolo) per creare e aggiornare i proxy API, ma non per eseguirne il deployment in un ambiente di produzione.
La credenziale della chiave utilizzata dal sistema di autorizzazione Edge è l'indirizzo email dell'utente. Questa credenziale (insieme ad altri metadati) viene sempre archiviata nel protocollo LDAP di autorizzazione interna di Edge. Questo LDAP è completamente separato dal LDAP di autenticazione (sia interno che esterno).
È necessario inoltre eseguire manualmente il provisioning degli utenti autenticati tramite un LDAP esterno nel sistema LDAP di autorizzazione. I dettagli sono illustrati in questo documento.
Per ulteriori informazioni sull'autorizzazione e sull'RBAC, consulta Gestire gli utenti dell'organizzazione e Assegnare i ruoli.
Per un'analisi più approfondita, vedi anche Informazioni sui flussi di autenticazione e autorizzazione Edge.
Informazioni sull'autenticazione di associazione diretta e indiretta
La funzionalità di autorizzazione esterna supporta l'autenticazione di associazione diretta e indiretta tramite il sistema LDAP esterno.
Riepilogo: l'autenticazione di associazione indiretta richiede una ricerca su LDAP esterno di credenziali che corrispondano all'indirizzo email, al nome utente o a un altro ID fornito dall'utente al momento dell'accesso. Con l'autenticazione di associazione diretta, non viene eseguita alcuna ricerca: le credenziali vengono inviate e convalidate direttamente dal servizio LDAP. L'autenticazione di associazione diretta è considerata più efficiente perché non prevede alcuna ricerca.
Informazioni sull'autenticazione dell'associazione indiretta
Con l'autenticazione con associazione indiretta, l'utente inserisce una credenziale, ad esempio un indirizzo email, un nome utente o qualche altro attributo, e Edge cerca questa credenziale/valore nel sistema di autenticazione. Se il risultato della ricerca ha esito positivo, il sistema estrae il DN LDAP dai risultati di ricerca e lo utilizza con una password fornita per autenticare l'utente.
Il punto chiave da sapere è che l'autenticazione con associazione indiretta richiede il chiamante (ad es. Apigee Edge) per fornire credenziali di amministratore LDAP esterne in modo che Edge possa "accedere" al protocollo LDAP esterno ed eseguire la ricerca. Devi fornire queste credenziali in un file di configurazione perimetrale, descritto più avanti in questo documento. Sono descritti anche i passaggi per criptare la credenziale della password.
Informazioni sull'autenticazione di associazione diretta
Con l'autenticazione dell'associazione diretta, Edge invia le credenziali inserite da un utente direttamente al sistema di autenticazione esterno. In questo caso, non viene eseguita alcuna ricerca sul sistema esterno. Le credenziali fornite hanno esito positivo o negativo (ad esempio, se l'utente non è presente nel server LDAP esterno o se la password è errata, l'accesso non andrà a buon fine).
L'autenticazione dell'associazione diretta non richiede la configurazione delle credenziali di amministratore per il sistema di autenticazione esterno in Apigee Edge (come per l'autenticazione con associazione indiretta). Tuttavia, è necessario eseguire un semplice passaggio di configurazione, descritto più avanti in questo documento.