Edge for Private Cloud v. 4.16.09
本文档介绍了如何将外部目录服务集成到现有 Apigee Edge 私有云中。此功能旨在与支持 LDAP 的任何目录服务(如 Active Directory、OpenLDAP 等)搭配使用。此处介绍了所有步骤,可让 Apigee Edge 与您的 LDAP 服务协同工作。
借助外部 LDAP 解决方案,系统管理员可以从集中式目录管理服务(使用 Apigee Edge 等系统使用它们)管理用户凭据。本文档中介绍的功能支持直接和间接绑定身份验证。
观众
本文档假设您是 Apigee Edge for Private Cloud 全球系统管理员,并且您的帐号拥有外部目录服务。
概览
默认情况下,Apigee Edge 使用内部 OpenLDAP 实例来存储用户身份验证的凭据。不过,您可以将 Edge 配置为使用外部身份验证 LDAP 服务,而不是内部服务。本文档介绍了此外部配置的过程。
Edge 还会将基于角色的访问权限授权凭据存储在单独的内部 LDAP 实例中。无论您是否配置外部身份验证服务,授权凭据都始终存储在此内部 LDAP 实例中。本文档介绍了将外部 LDAP 系统中存在的用户添加到 Edge 授权 LDAP 的过程。
请注意,“身份验证”是指验证用户身份,而授权是指验证通过身份验证的用户在使用 Apigee Edge 功能时被授予的权限级别。
关于 Edge 身份验证和授权的须知事项
这有助于您了解身份验证与授权之间的区别,以及 Apigee Edge 如何管理这两个活动。
关于身份验证
通过界面或 API 访问 Apigee Edge 的用户必须经过身份验证。默认情况下,用于身份验证的 Edge 用户凭据存储在内部 OpenLDAP 实例中。通常情况下,用户必须注册或要求用户注册 Apigee 帐号,届时用户必须提供自己的用户名、电子邮件地址、密码凭据和其他元数据。此信息存储在身份验证 LDAP 中并由其进行管理。
但是,如果您想使用外部 LDAP 代表 Edge 管理用户凭据,则可以将 Edge 配置为使用外部 LDAP 系统而不是内部 LDAP 系统。如本文档中所述,配置外部 LDAP 时,系统会根据该外部存储区验证用户凭据。
关于授权
边缘组织管理员可以授予用户与 Apigee Edge 实体(如 API 代理、产品、缓存、部署等)进行交互的具体权限。您可以通过为用户分配角色来授予权限。Edge 包含几个内置角色,如果需要,组织管理员可以定义自定义角色。例如,用户可以(通过角色)被授予创建和更新 API 代理的授权,但不能将其部署到生产环境。
Edge 授权系统使用的密钥凭据是用户的电子邮件地址。此凭据(以及其他一些元数据)始终存储在 Edge 的内部授权 LDAP 中。此 LDAP 与身份验证 LDAP 完全分开(无论是内部还是外部)。
通过外部 LDAP 进行身份验证的用户还必须手动预配到授权 LDAP 系统中。本文档对此进行了详细说明。
有关授权和 RBAC 的更多背景信息,请参阅管理组织用户和分配角色。
如需深入了解,另请参阅了解 Edge 身份验证和授权流程。
了解直接和间接绑定身份验证
外部授权功能支持通过外部 LDAP 系统进行直接和间接绑定身份验证。
摘要:间接绑定身份验证要求在外部 LDAP 中搜索与用户在登录时提供的电子邮件地址、用户名或其他 ID 匹配的凭据。使用直接绑定身份验证时,系统不会执行任何搜索,凭据会直接发送到 LDAP 服务并由 Google 服务进行验证。直接绑定身份验证被认为更高效,因为不涉及任何搜索。
关于间接绑定身份验证
采用间接绑定身份验证时,用户输入凭据(例如电子邮件地址、用户名或其他一些属性),Edge 会在身份验证系统中搜索此凭据/值。如果搜索结果成功,系统会从搜索结果中提取 LDAP DN,并使用提供的密码验证用户身份。
关键在于,间接绑定身份验证需要调用方(例如Apigee Edge)来提供外部 LDAP 管理员凭据,这样 Edge 就可以“登录”外部 LDAP 并执行搜索。您必须在 Edge 配置文件中提供这些凭据,本文档后面部分将对其进行介绍。另外还介绍了加密凭据的具体步骤。
直接绑定身份验证简介
借助直接绑定身份验证,Edge 会将用户输入的凭据直接发送到外部身份验证系统。在这种情况下,系统不会在外部系统上执行搜索。 提供的凭据成功或失败(例如,用户不在外部 LDAP 中或密码不正确)。登录将失败。
直接绑定身份验证不要求您在 Apigee Edge 中配置外部身份验证系统的管理凭据(与间接绑定身份验证一样);不过,您必须执行一个简单的配置步骤,本文档后面部分将对其进行介绍。