Edge for Private Cloud, wer. 4.17.01
Ten dokument wyjaśnia, jak zintegrować zewnętrzną usługę katalogu z istniejącą instalacją prywatnej Apigee Edge Cloud. Ta funkcja działa z każdą usługą katalogową obsługującą LDAP, taką jak Active Directory czy OpenLDAP. Podane są tu wszystkie kroki, które pozwolą Apigee Edge pracować z usługą LDAP.
Zewnętrzne rozwiązanie LDAP umożliwia administratorom systemu zarządzanie danymi logowania użytkowników ze scentralizowanej usługi zarządzania katalogami, która znajduje się poza systemami takimi jak Apigee Edge, które z nich korzystają. Funkcja opisana w tym dokumencie obsługuje zarówno uwierzytelnianie bezpośrednie, jak i pośrednie.
Odbiorcy
W tym dokumencie zakładamy, że jesteś administratorem Apigee Edge dla globalnego administratora systemu Private Cloud i masz konto z usługą katalogu zewnętrznego.
Przegląd
Domyślnie Apigee Edge używa wewnętrznej instancji OpenLDAP do przechowywania danych logowania używanych do uwierzytelniania użytkownika. Możesz jednak skonfigurować Edge jako usługę LDAP uwierzytelniania zewnętrznego zamiast wewnętrznej. Procedura dotycząca tej konfiguracji zewnętrznej została opisana w tym dokumencie.
Edge przechowuje również dane logowania oparte na rolach w oddzielnej, wewnętrznej instancji LDAP. Niezależnie od tego, czy skonfigurujesz zewnętrzną usługę uwierzytelniania, dane logowania autoryzacji są zawsze przechowywane w tej wewnętrznej instancji LDAP. W tym dokumencie opisano procedurę dodawania użytkowników istniejących w zewnętrznym systemie LDAP do autoryzacji LDAP dla Edge.
Pamiętaj, że uwierzytelnianie oznacza weryfikację tożsamości użytkownika, a autoryzacja to poziom uprawnień, do którego uwierzytelniony użytkownik ma uprawnienia do korzystania z funkcji Apigee Edge.
Co musisz wiedzieć o uwierzytelnianiu i autoryzacji Edge
Warto zrozumieć różnicę między uwierzytelnianiem a uwierzytelnianiem oraz sposób, w jaki Apigee Edge zarządza tymi 2 czynnościami.
Informacje o uwierzytelnianiu
Użytkownicy, którzy uzyskują dostęp do Apigee Edge przez interfejs użytkownika lub interfejsy API, muszą być uwierzytelnieni. Domyślnie dane logowania użytkowników Edge na potrzeby uwierzytelniania są przechowywane w wewnętrznej instancji OpenLDAP. Zwykle użytkownicy muszą zarejestrować się w Apigee, aby otrzymać konto Apigee, a następnie podać nazwę użytkownika, adres e-mail, hasło i inne metadane. Informacje te są przechowywane i zarządzane przez LDAP uwierzytelniania.
Jeśli jednak chcesz używać danych logowania zewnętrznego użytkownika LDAP do zarządzania danymi logowania w brzegu, możesz skonfigurować przeglądarkę Edge w taki sposób, aby korzystała z zewnętrznego systemu LDAP, a nie wewnętrznego. Gdy skonfigurowany jest zewnętrzny LDAP, dane logowania użytkownika są weryfikowane w danym sklepie zewnętrznym, jak opisano w tym dokumencie.
Informacje o autoryzacji
Administratorzy organizacji brzegowych mogą przyznawać użytkownikom konkretne uprawnienia do interakcji z podmiotami Apigee Edge, takimi jak serwery proxy interfejsu API, produkty, pamięć podręczna, wdrożenia itd. Uprawnienia przyznaje się użytkownikom, przypisując im role. Edge ma kilka wbudowanych ról, a w razie potrzeby administratorzy organizacji mogą definiować role niestandardowe. Użytkownikowi można na przykład przyznać uprawnienie (przy użyciu roli) do tworzenia i aktualizowania serwerów proxy interfejsu API, ale nie do wdrażania ich w środowisku produkcyjnym.
Kluczowe dane logowania używane przez system autoryzacji Edge to adres e-mail użytkownika. Te dane logowania (razem z innymi metadanymi) są zawsze przechowywane w wewnętrznym katalogu autoryzacji Edge. Ten protokół LDAP jest całkowicie niezależny od uwierzytelniania LDAP (wewnętrznego lub zewnętrznego).
Konta użytkowników, które są uwierzytelniane przy użyciu zewnętrznego serwera LDAP, też muszą zostać ręcznie udostępnione w systemie LDAP autoryzacji. Szczegółowe informacje znajdziesz w tym dokumencie.
Więcej informacji o autoryzacji i RBAC znajdziesz w artykułach Zarządzanie użytkownikami w organizacji i Przypisywanie ról.
Więcej informacji znajdziesz w artykule Omówienie procesu uwierzytelniania i autoryzacji Edge.
Omówienie bezpośredniego i pośredniego uwierzytelniania
Funkcja autoryzacji zewnętrznej obsługuje uwierzytelnianie bezpośrednie i pośrednie przez zewnętrzny system LDAP.
Podsumowanie: uwierzytelnianie pośrednie wymaga wyszukania w zewnętrznym LDAP danych uwierzytelniających pasujących do adresu e-mail, nazwy użytkownika lub innego identyfikatora dostarczonego przez użytkownika podczas logowania. W przypadku uwierzytelniania bezpośredniego powiązania nie jest przeprowadzane żadne wyszukiwanie – dane logowania są wysyłane bezpośrednio do usługi LDAP i weryfikowane. Uwierzytelnianie bezpośrednie jest uważane za bardziej efektywne, ponieważ nie wymaga wyszukiwania.
Uwierzytelnianie pośrednie – informacje
Przy uwierzytelnianiu pośrednim użytkownik wpisuje dane logowania, takie jak adres e-mail, nazwę użytkownika lub inny atrybut, a system uwierzytelniania wyszukiwania przy użyciu Edge przeszukuje te dane logowania/wartość. Jeśli wynik wyszukiwania jest prawidłowy, system wyodrębnia z wyników wyszukiwania nazwę wyróżniającą LDAP i używa jej przy użyciu podanego hasła do uwierzytelniania użytkownika.
Ważne jest, aby pamiętać, że uwierzytelnianie pośrednie wymaga wywołania wywołującego (np. Apigee Edge), aby podać zewnętrzne dane logowania administratora LDAP, które umożliwiają „zalogowanie się” na zewnątrz LDAP i przeprowadzenie wyszukiwania. Musisz podać te dane logowania w pliku konfiguracji Edge, który został opisany w dalszej części tego dokumentu. Instrukcje szyfrowania danych logowania znajdziesz też w dokumentacji.
Uwierzytelnianie bezpośrednie
W przypadku uwierzytelniania bezpośredniego powiązania Edge wysyła dane logowania wprowadzone przez użytkownika bezpośrednio do zewnętrznego systemu uwierzytelniania. W takim przypadku system wyszukiwania nie jest wykonywany. Podane dane logowania są skuteczne lub nie działają prawidłowo (np. jeśli użytkownika nie ma w zewnętrznym katalogu LDAP lub hasło jest nieprawidłowe, logowanie się nie powiedzie).
Uwierzytelnianie bezpośrednie nie wymaga konfigurowania danych logowania administratora na potrzeby zewnętrznego systemu uwierzytelniania w Apigee Edge (jak w przypadku uwierzytelniania pośredniego wiązania). Jest jednak wymagany prosty krok konfiguracji, który został opisany w dalszej części tego dokumentu.