Edge для частного облака v. 4.16.09
В этом документе объясняется, как интегрировать внешнюю службу каталогов в существующую установку частного облака Apigee Edge. Эта функция предназначена для работы с любой службой каталогов, поддерживающей LDAP, например Active Directory, OpenLDAP и другими. Здесь описаны все шаги, необходимые для того, чтобы Apigee Edge работал с вашей службой LDAP.
Внешнее решение LDAP позволяет системным администраторам управлять учетными данными пользователей из централизованной службы управления каталогами, внешней по отношению к таким системам, как Apigee Edge, которые их используют. Функция, описанная в этом документе, поддерживает как прямую, так и косвенную аутентификацию привязки.
Аудитория
В этом документе предполагается, что вы являетесь глобальным системным администратором Apigee Edge for Private Cloud и у вас есть учетная запись во внешней службе каталогов.
Обзор
По умолчанию Apigee Edge использует внутренний экземпляр OpenLDAP для хранения учетных данных, используемых для аутентификации пользователей. Однако вы можете настроить Edge на использование внешней службы аутентификации LDAP вместо внутренней. Процедура этой внешней конфигурации описана в этом документе.
Edge также хранит учетные данные авторизации доступа на основе ролей в отдельном внутреннем экземпляре LDAP. Независимо от того, настраиваете ли вы внешнюю службу аутентификации, учетные данные авторизации всегда хранятся в этом внутреннем экземпляре LDAP. В этом документе объясняется процедура добавления пользователей, существующих во внешней системе LDAP, в LDAP Edge авторизации.
Обратите внимание, что под аутентификацией подразумевается проверка личности пользователя, а под авторизацией подразумевается проверка уровня разрешения, которое аутентифицированному пользователю предоставляется на использование функций Apigee Edge.
Что нужно знать об аутентификации и авторизации Edge
Полезно понять разницу между аутентификацией и авторизацией, а также то, как Apigee Edge управляет этими двумя действиями.
Об аутентификации
Пользователи, которые получают доступ к Apigee Edge через пользовательский интерфейс или API, должны пройти аутентификацию. По умолчанию учетные данные пользователя Edge для аутентификации хранятся во внутреннем экземпляре OpenLDAP. Обычно пользователи должны зарегистрироваться или получить предложение зарегистрироваться для получения учетной записи Apigee, и в это время они предоставляют свое имя пользователя, адрес электронной почты, учетные данные пароля и другие метаданные. Эта информация хранится и управляется аутентификацией LDAP.
Однако если вы хотите использовать внешний LDAP для управления учетными данными пользователей от имени Edge, вы можете сделать это, настроив Edge на использование внешней системы LDAP вместо внутренней. Когда настроен внешний LDAP, учетные данные пользователя проверяются на соответствие этому внешнему хранилищу, как описано в этом документе.
Об авторизации
Администраторы организации Edge могут предоставлять пользователям определенные разрешения на взаимодействие с объектами Apigee Edge, такими как прокси-серверы API, продукты, кэши, развертывания и т. д. Разрешения предоставляются посредством назначения ролей пользователям. Edge включает в себя несколько встроенных ролей, и при необходимости администраторы организации могут определить настраиваемые роли. Например, пользователю может быть предоставлено разрешение (через роль) на создание и обновление прокси-серверов API, но не на их развертывание в производственной среде.
Ключевыми учетными данными, используемыми системой авторизации Edge, является адрес электронной почты пользователя . Эти учетные данные (вместе с некоторыми другими метаданными) всегда хранятся во внутреннем LDAP авторизации Edge. Этот LDAP полностью отделен от LDAP аутентификации (внутреннего или внешнего).
Пользователей, прошедших аутентификацию через внешний LDAP, также необходимо вручную подключить к системе авторизации LDAP. Подробности описаны в этом документе.
Дополнительные сведения об авторизации и RBAC см. в разделах Управление пользователями организации и Назначение ролей .
Более подробно см. также раздел «Понимание потоков аутентификации и авторизации Edge ».
Понимание аутентификации прямой и косвенной привязки
Функция внешней авторизации поддерживает как прямую , так и косвенную аутентификацию привязки через внешнюю систему LDAP.
Сводка : Аутентификация с непрямой привязкой требует поиска во внешнем LDAP учетных данных, соответствующих адресу электронной почты, имени пользователя или другому идентификатору, указанному пользователем при входе в систему. При аутентификации с прямой привязкой поиск не выполняется — учетные данные отправляются и проверяются непосредственно службой LDAP. Аутентификация с прямой привязкой считается более эффективной, поскольку не требует поиска.
Об аутентификации непрямой привязки
При аутентификации с непрямой привязкой пользователь вводит учетные данные, такие как адрес электронной почты, имя пользователя или какой-либо другой атрибут, и Edge ищет в системе аутентификации эти учетные данные/значение. Если результат поиска успешен, система извлекает LDAP DN из результатов поиска и использует его с предоставленным паролем для аутентификации пользователя.
Ключевым моментом, который следует знать, является то, что аутентификация с непрямой привязкой требует, чтобы вызывающая сторона (например, Apigee Edge) предоставила учетные данные внешнего администратора LDAP, чтобы Edge мог «войти в систему» на внешний LDAP и выполнить поиск. Вы должны предоставить эти учетные данные в файле конфигурации Edge, который описан ниже в этом документе. Также описаны шаги по шифрованию учетных данных пароля.
Об аутентификации прямой привязки
При аутентификации с прямой привязкой Edge отправляет учетные данные, введенные пользователем, непосредственно во внешнюю систему аутентификации. В этом случае поиск во внешней системе не выполняется. Либо предоставленные учетные данные будут успешными, либо они не удастся (например, если пользователь отсутствует во внешнем LDAP или если пароль неверен, вход в систему завершится неудачно).
Аутентификация с прямой привязкой не требует настройки учетных данных администратора для внешней системы аутентификации в Apigee Edge (как при аутентификации с непрямой привязкой); однако вам необходимо выполнить простой шаг настройки, который описан далее в этом документе.