Edge for Private Cloud v. 4.16.09
Bu belgede, harici bir dizin hizmetinin mevcut bir Apigee Edge Private Cloud kurulumuna nasıl entegre edileceği açıklanmaktadır. Bu özellik, LDAP'yi destekleyen Active Directory, OpenLDAP gibi bir dizin hizmetiyle çalışacak şekilde tasarlanmıştır. Apigee Edge'in LDAP hizmetinizle çalışmasını sağlamak için gereken tüm adımlar burada verilmiştir.
Harici bir LDAP çözümü, sistem yöneticilerinin kullanıcı kimlik bilgilerini bunları kullanan Apigee Edge gibi sistemlerin dışındaki merkezi bir dizin yönetimi hizmetinden yönetmesine olanak tanır. Bu belgede açıklanan özellik, hem doğrudan hem de dolaylı bağlama kimlik doğrulamasını destekler.
Kitle
Bu belgede, Private Cloud için Apigee Edge küresel sistem yöneticisi olduğunuz ve harici dizin hizmetinde hesabınız olduğu varsayılmıştır.
Genel bakış
Varsayılan olarak Apigee Edge, kullanıcı kimlik doğrulaması için kullanılan kimlik bilgilerini depolamak için dahili bir OpenLDAP örneği kullanır. Ancak Edge'i dahili hizmet yerine harici kimlik doğrulama LDAP hizmeti kullanacak şekilde yapılandırabilirsiniz. Bu harici yapılandırmayla ilgili prosedür bu dokümanda açıklanmıştır.
Edge, rol tabanlı erişim yetkilendirme kimlik bilgilerini de ayrı bir dahili LDAP örneğinde depolar. Harici bir kimlik doğrulama hizmeti yapılandırsanız da yapılandırmasanız da yetkilendirme kimlik bilgileri her zaman bu dahili LDAP örneğinde depolanır. Harici LDAP sistemindeki kullanıcıları Edge yetkilendirme LDAP'ye ekleme prosedürü bu dokümanda açıklanmıştır.
Kimlik doğrulama, kullanıcının kimliğinin doğrulanması anlamına gelirken yetkilendirme, kimliği doğrulanmış bir kullanıcıya Apigee Edge özelliklerini kullanması için verilen izin düzeyinin doğrulanması anlamına gelir.
Edge kimlik doğrulaması ve yetkilendirmesi hakkında bilmeniz gerekenler
Kimlik doğrulama ve yetkilendirme arasındaki farkı ve Apigee Edge'in bu iki etkinliği nasıl yönettiğini anlamak faydalıdır.
Kimlik doğrulama hakkında
Apigee Edge'e kullanıcı arayüzü veya API'ler üzerinden erişen kullanıcıların kimliği doğrulanmalıdır. Varsayılan olarak, kimlik doğrulama için Edge kullanıcı kimlik bilgileri dahili bir OpenLDAP örneğinde depolanır. Genellikle, kullanıcıların Apigee hesabına kaydolmaları veya bu hesaba kaydolmaları istenmesi gerekir. Bu esnada kullanıcılar kullanıcı adlarını, e-posta adreslerini, şifre kimlik bilgilerini ve diğer meta verileri sağlarlar. Bu bilgiler kimlik doğrulama amaçlı LDAP'de saklanır ve bu bilgiler tarafından yönetilir.
Ancak, kullanıcı kimlik bilgilerini Edge adına yönetmek için harici bir LDAP kullanmak isterseniz bunu, Edge'i dahili sistem yerine harici LDAP sistemini kullanacak şekilde yapılandırarak yapabilirsiniz. Harici bir LDAP yapılandırıldığında, kullanıcı kimlik bilgileri bu belgede açıklandığı gibi söz konusu harici mağazaya göre doğrulanır.
Yetkilendirme hakkında
Edge kuruluş yöneticileri; kullanıcılara API proxy'leri, ürünler, önbellekler, dağıtımlar gibi Apigee Edge varlıklarıyla etkileşim kurmaları için belirli izinler verebilir. İzinler, kullanıcılara roller atanarak verilir. Edge birkaç yerleşik rol içerir ve gerekirse kuruluş yöneticileri özel roller tanımlayabilir. Örneğin, kullanıcıya API proxy'leri oluşturma ve güncelleme yetkisi verilebilir (bir rol aracılığıyla), ancak bu proxy'leri üretim ortamına dağıtma yetkisi verilmez.
Edge yetkilendirme sistemi tarafından kullanılan anahtar kimlik bilgisi, kullanıcının e-posta adresidir. Bu kimlik bilgisi (diğer meta verilerle birlikte) her zaman Edge'in dahili yetkilendirme LDAP'sinde saklanır. Bu LDAP, kimlik doğrulama LDAP'sinden (dahili veya harici) tamamen ayrıdır.
Harici bir LDAP ile kimliği doğrulanan kullanıcıların yetkilendirme LDAP sistemine manuel olarak temel hazırlığı da yapılmalıdır. Ayrıntılar bu dokümanda açıklanmaktadır.
Yetkilendirme ve RBAC hakkında daha fazla bilgi için Kuruluş kullanıcılarını yönetme ve Rol atama bölümlerine göz atın.
Daha ayrıntılı bilgi için Edge kimlik doğrulama ve yetkilendirme akışlarını anlama sayfasına da göz atın.
Doğrudan ve dolaylı bağlama kimlik doğrulamasını anlama
Harici yetkilendirme özelliği, harici LDAP sistemi üzerinden hem doğrudan hem de dolaylı bağlama kimlik doğrulamasını destekler.
Özet: Dolaylı bağlama kimlik doğrulaması, giriş sırasında kullanıcının sağladığı e-posta adresi, kullanıcı adı veya diğer kimlikle eşleşen kimlik bilgileri için harici LDAP'de arama yapılmasını gerektirir. Doğrudan bağlama kimlik doğrulamasıyla herhangi bir arama gerçekleştirilmez. Kimlik bilgileri doğrudan LDAP hizmetine gönderilir ve bu hizmet tarafından doğrulanır. Arama yapılması gerekmediğinden doğrudan bağlama kimlik doğrulamasının daha verimli olduğu kabul edilir.
Dolaylı bağlama kimlik doğrulaması hakkında
Dolaylı bağlama kimlik doğrulamasıyla kullanıcı, e-posta adresi, kullanıcı adı veya başka bir özellik gibi bir kimlik bilgisi girer ve Edge, bu kimlik bilgisi/değer için kimlik doğrulama sisteminde arama yapar. Arama sonucu başarılı olursa sistem, arama sonuçlarından LDAP DN'sini çıkarır ve kullanıcının kimliğini doğrulamak için bu DN'yi sağlanan şifreyle kullanır.
Bilinmesi gereken önemli nokta, dolaylı bağlama kimlik doğrulamasının arayan (ör. Apigee Edge) bulunur. Bu kimlik bilgilerini, bu belgenin ilerleyen bölümlerinde açıklanan bir Edge yapılandırma dosyasında sağlamanız gerekir. Şifre kimlik bilgilerini şifrelemeyle ilgili adımlar da açıklanmaktadır.
Doğrudan bağlama kimlik doğrulaması hakkında
Edge, doğrudan bağlama kimlik doğrulaması sayesinde kullanıcı tarafından girilen kimlik bilgilerini doğrudan harici kimlik doğrulama sistemine gönderir. Bu durumda, harici sistemde hiçbir arama gerçekleştirilmez. Sağlanan kimlik bilgileri başarılı olur veya başarısız olur (ör. kullanıcı harici LDAP'de yoksa veya şifre yanlışsa giriş işlemi başarısız olur).
Doğrudan bağlama kimlik doğrulaması, Apigee Edge'deki harici kimlik doğrulama sistemi için yönetici kimlik bilgilerini yapılandırmanızı gerektirmez (dolaylı bağlama kimlik doğrulamasında olduğu gibi) ancak gerçekleştirmeniz gereken basit bir yapılandırma adımı vardır. Bu adım, bu belgenin ilerleyen bölümlerinde açıklanmaktadır.