了解 Edge 身份验证和授权流程

Edge for Private Cloud v. 4.17.01

本文档介绍 Apigee Edge 上身份验证和授权的工作原理。当您使用 Apigee Edge 配置外部 LDAP 时,此信息可能会提供有用的上下文。

身份验证和授权流程取决于用户是通过管理界面还是 API 进行身份验证。

通过界面登录时

当您通过界面登录 Edge 时,Edge 使用 Edge 全局系统管理员凭据执行单独的登录步骤,以登录 Apigee Management Server。

以下界面登录步骤如图 1 所示:

  1. 用户在登录界面中输入登录凭据。
  2. Edge 会使用全局系统管理员凭据登录管理服务器。
  3. 全局系统管理员凭据已通过身份验证并获得授权。界面会使用这些凭据发出某些平台 API 请求。
    1. 如果启用了外部身份验证,则根据外部 LDAP 对凭据进行身份验证,否则使用内部边缘 LDAP。
    2. 授权始终针对内部 LDAP 执行。
  4. 用户输入的凭据已通过身份验证并获得授权。
    1. 如果启用了外部身份验证,则根据外部 LDAP 对凭据进行身份验证,否则使用内部边缘 LDAP。
    2. 授权始终针对内部 LDAP 执行。

下图显示了通过 Edge 界面进行授权和身份验证:

通过 API 登录时

通过 API 登录 Edge 时,系统只会使用通过 API 输入的凭据。与界面登录不同,用户无需使用系统管理员凭据单独登录。

以下 API 登录步骤如图 2 所示:

  1. 用户在登录界面中输入登录凭据。
  2. 用户输入的凭据已通过身份验证并获得授权。
  3. 如果启用了外部身份验证,则根据外部 LDAP 对凭据进行身份验证,否则使用内部边缘 LDAP。
  4. 授权始终针对内部 LDAP 执行。

下图显示了通过 Edge API 进行授权和身份验证: