Uwierzytelnianie zewnętrzne

Edge for Private Cloud wer. 4.16.09

Ten dokument wyjaśnia, jak zintegrować zewnętrzną usługę katalogu z istniejącą instalacją Apigee Edge Private Cloud. Ta funkcja działa z każdą usługą katalogową obsługującą LDAP, na przykład Active Directory czy OpenLDAP. Tutaj znajdziesz wszystkie kroki, które pozwolą Ci umożliwić Apigee Edge działanie z usługą LDAP.

Zewnętrzne rozwiązanie LDAP umożliwia administratorom systemu zarządzanie danymi logowania użytkowników za pomocą scentralizowanej usługi zarządzania katalogami. Nie dotyczy to systemów, które z nich korzystają, takich jak Apigee Edge. Funkcja opisana w tym dokumencie obsługuje zarówno uwierzytelnianie bezpośrednie, jak i pośrednie związane z wiązaniem.

Odbiorcy

W tym dokumencie zakładamy, że jesteś administratorem systemu globalnego Apigee Edge for Private Cloud i masz konto zewnętrznej usługi katalogowej.

Opis

Domyślnie Apigee Edge używa wewnętrznej instancji OpenLDAP do przechowywania danych logowania używanych do uwierzytelniania użytkowników. Możesz jednak skonfigurować Edge tak, aby używała zewnętrznej usługi LDAP do uwierzytelniania, a nie wewnętrznej. Procedura dla tej konfiguracji zewnętrznej została omówiona w tym dokumencie.

Edge przechowuje też dane logowania oparte na rolach w oddzielnej wewnętrznej instancji LDAP. Niezależnie od tego, czy skonfigurujesz zewnętrzną usługę uwierzytelniania, dane logowania są zawsze przechowywane w tej wewnętrznej instancji LDAP. Procedura dodawania użytkowników istniejących w zewnętrznym systemie LDAP do LDAP autoryzacji Edge została omówiona w tym dokumencie.

Pamiętaj, że uwierzytelnianie odnosi się do weryfikowania tożsamości użytkownika, a autoryzacja – do weryfikacji poziomu uprawnień uwierzytelnionego użytkownika do korzystania z funkcji Apigee Edge.

Co musisz wiedzieć o uwierzytelnianiu i autoryzacji brzegowej

Warto poznać różnicę między uwierzytelnianiem a autoryzacją oraz zrozumieć, w jaki sposób Apigee Edge zarządza tymi 2 działaniami.

Informacje o uwierzytelnianiu

Użytkownicy, którzy uzyskują dostęp do Apigee Edge przez interfejs użytkownika lub interfejsy API, muszą być uwierzytelnieni. Domyślnie dane logowania użytkowników Edge na potrzeby uwierzytelniania są przechowywane w wewnętrznej instancji OpenLDAP. Zwykle użytkownicy muszą zarejestrować się w Apigee lub zostaną poproszeni o założenie konta i wtedy podają swoją nazwę użytkownika, adres e-mail, dane logowania i inne metadane. Te informacje są przechowywane w LDAP uwierzytelniania i zarządzane przez niego.

Jeśli jednak chcesz używać zewnętrznego systemu LDAP do zarządzania danymi logowania użytkowników w imieniu Edge, możesz skonfigurować Edge tak, aby używała zewnętrznego systemu LDAP, a nie wewnętrznego. Po skonfigurowaniu zewnętrznego serwera LDAP dane logowania użytkowników są sprawdzane w odniesieniu do tego magazynu zewnętrznego zgodnie z opisem w tym dokumencie.

Informacje o autoryzacji

Administratorzy organizacji brzegowej mogą przyznawać użytkownikom określone uprawnienia umożliwiające interakcję z elementami Apigee Edge, takimi jak serwery proxy interfejsów API, usługi, pamięci podręczne, wdrożenia itp. Uprawnienia są przyznawane przez przypisanie ról użytkownikom. Edge zawiera kilka wbudowanych ról, a w razie potrzeby administratorzy organizacji mogą zdefiniować role niestandardowe. Użytkownikowi można na przykład nadać uprawnienia (za pomocą roli) do tworzenia i aktualizowania serwerów proxy interfejsu API, ale nie do wdrażania ich w środowisku produkcyjnym.

Kluczowe dane logowania używane przez system autoryzacji Edge to adres e-mail użytkownika. Te dane logowania (razem z innymi metadanymi) są zawsze przechowywane w wewnętrznym LDAP autoryzacji przeglądarki Edge. Ten LDAP jest całkowicie niezależny od LDAP uwierzytelniania (wewnętrznego i zewnętrznego).

Użytkownicy uwierzytelnieni przy użyciu zewnętrznego protokołu LDAP muszą również zostać ręcznie obsługiwani w systemie autoryzacji LDAP. Szczegółowe informacje znajdziesz w tym dokumencie.

Więcej informacji na temat autoryzacji i RBAC znajdziesz w artykułach Zarządzanie użytkownikami organizacji i Przypisywanie ról.

Więcej informacji znajdziesz w artykule Omówienie przepływów autoryzacji i uwierzytelniania brzegowego.

Omówienie uwierzytelniania bezpośredniego i pośredniego wiązań

Funkcja autoryzacji zewnętrznej obsługuje uwierzytelnianie bezpośrednie i pośrednie w ramach zewnętrznego systemu LDAP.

Podsumowanie: uwierzytelnianie wiązań pośrednich wymaga wyszukiwania w zewnętrznym LDAP danych logowania, które odpowiadają adresowi e-mail, nazwie użytkownika lub innym identyfikatorom podanym przez użytkownika podczas logowania. W przypadku uwierzytelniania bezpośredniego powiązania nie przeprowadza się wyszukiwania – dane uwierzytelniające są wysyłane bezpośrednio do usługi LDAP i przez nią sprawdzane. Uwierzytelnianie bezpośredniego powiązania jest uważane za bardziej efektywne, ponieważ nie wymaga wyszukiwania.

Informacje o uwierzytelnianiu w związku pośrednim

W przypadku uwierzytelniania pośredniego powiązania użytkownik wpisuje dane uwierzytelniające, takie jak adres e-mail, nazwa użytkownika lub inny atrybut, a następnie przeszukuje system uwierzytelniania Edge dla tych danych logowania lub wartości. Jeśli wyszukiwanie powiedzie się, system wyodrębni nazwę wyróżniającą LDAP z wyników wyszukiwania i użyje jej wraz z podanym hasłem do uwierzytelnienia użytkownika.

Pamiętaj, że uwierzytelnianie związane z pośrednim wiązaniem wymaga obiektu wywołującego (np. Apigee Edge), aby udostępnić zewnętrzne dane logowania administratora LDAP, aby umożliwić Edge „zalogowanie się” do zewnętrznego LDAP i przeprowadzenie wyszukiwania. Dane logowania musisz podać w pliku konfiguracji Edge, który został opisany w dalszej części tego dokumentu. Opisano również kroki szyfrowania danych logowania do hasła.

Uwierzytelnianie na podstawie bezpośredniego powiązania

W przypadku uwierzytelniania bezpośredniego powiązania Edge wysyła dane logowania wpisane przez użytkownika bezpośrednio do zewnętrznego systemu uwierzytelniania. W takim przypadku w systemie zewnętrznym nie jest przeprowadzane wyszukiwanie. Podane dane logowania zakończą się powodzeniem albo niepowodzeniem (np. jeśli użytkownika nie ma w zewnętrznym LDAP lub jeśli hasło jest nieprawidłowe, logowanie się nie uda).

Uwierzytelnianie bezpośredniego powiązania nie wymaga konfigurowania danych logowania administratora dla zewnętrznego systemu uwierzytelniania w Apigee Edge (tak jak w przypadku uwierzytelniania pośredniego). Musisz jednak wykonać prosty krok konfiguracji, który został opisany w dalszej części tego dokumentu.