Autenticación externa

Edge para nube privada v. 4.17.05

En este documento, se explica cómo integrar un servicio de directorio externo en una instalación existente de Apigee Edge Private Cloud existente. Esta función está diseñada para funcionar con cualquier servicio de directorio que admita LDAP, como Active Directory y OpenLDAP, entre otros. Aquí se incluyen todos los pasos para que Apigee Edge funcione con tu servicio de LDAP.

Una solución LDAP externa permite a los administradores de sistemas gestionar las credenciales de usuario desde un servicio centralizado de administración de directorios, externo a sistemas que las usan como Apigee Edge. La función que se describe en este documento admite la autenticación de vinculación directa e indirecta.

Público

En este documento, se supone que eres administrador global del sistema de Apigee Edge para Cloud privado y que tienes una cuenta en el servicio de directorio externo.

Descripción general

De forma predeterminada, Apigee Edge usa una instancia interna de OpenLDAP a fin de almacenar las credenciales que se usan para la autenticación de usuarios. Sin embargo, puedes configurar Edge para que use un servicio de LDAP de autenticación externo en lugar del interno. El procedimiento para esta configuración externa se explica en este documento.

Edge también almacena las credenciales de autorización de acceso según la función en una instancia interna de LDAP independiente. Ya sea que configures o no un servicio de autenticación externo, las credenciales de autorización siempre se almacenan en esta instancia de LDAP interna. En este documento, se explica el procedimiento para agregar usuarios que existen en el sistema LDAP externo al LDAP de autorización perimetral.

Ten en cuenta que la autenticación hace referencia a la validación de la identidad de un usuario, mientras que la autorización hace referencia a la verificación del nivel de permiso que se le otorga a un usuario autenticado para usar las funciones de Apigee Edge.

Qué necesitas saber sobre la autenticación y autorización de Edge

Es útil comprender la diferencia entre la autenticación y la autorización, y cómo Apigee Edge administra estas dos actividades.

Información acerca de la autenticación

Se deben autenticar los usuarios que acceden a Apigee Edge a través de la IU o de las APIs. De forma predeterminada, las credenciales de usuario de Edge para la autenticación se almacenan en una instancia interna de OpenLDAP. Por lo general, los usuarios deben registrarse o solicitar que se registren en una cuenta de Apigee y, en ese momento, deben proporcionar su nombre de usuario, dirección de correo electrónico, credenciales de contraseña y otros metadatos. Esta información se almacena y administra en el LDAP de autenticación.

Sin embargo, si deseas usar un LDAP externo para administrar las credenciales del usuario en nombre de Edge, puedes hacerlo mediante la configuración de Edge para que use el sistema de LDAP externo en lugar del interno. Cuando se configura un LDAP externo, las credenciales de usuario se validan en ese almacén externo, como se explica en este documento.

Información acerca de la autorización

Los administradores de organizaciones de Edge pueden otorgar permisos específicos a los usuarios para que interactúen con entidades de Apigee Edge, como proxies de API, productos, caché, implementaciones, etcétera. Los permisos se otorgan mediante la asignación de funciones a los usuarios. Edge incluye varios roles integrados y, si es necesario, los administradores de la organización pueden definir roles personalizados. Por ejemplo, a un usuario se le puede otorgar autorización (mediante un rol) para crear y actualizar proxies de API, pero no para implementarlos en un entorno de producción.

La credencial de clave que usa el sistema de autorización de Edge es la dirección de correo electrónico del usuario. Esta credencial (junto con algunos otros metadatos) siempre se almacena en el LDAP de autorización interna de Edge. Este LDAP es completamente independiente del LDAP de autenticación (ya sea interno o externo).

Los usuarios que se autentican a través de un LDAP externo también se deben aprovisionar de forma manual en el sistema de LDAP de autorización. Los detalles se explican en este documento.

Para obtener más información sobre la autorización y el RBAC, consulta Administra usuarios de la organización y Asigna roles.

Para obtener información más detallada, consulta también Información sobre los flujos de autenticación y autorización de Edge.

Información sobre la autenticación de vinculación indirecta y directa

La función de autorización externa admite la autenticación de vinculación indirecta y directa a través del sistema de LDAP externo.

Resumen: La autenticación de vinculación indirecta requiere una búsqueda en LDAP externo de credenciales que coincidan con la dirección de correo electrónico, el nombre de usuario o algún otro ID proporcionado por el usuario en el acceso. Con la autenticación de vinculación directa, no se realiza ninguna búsqueda: el servicio LDAP envía las credenciales y las valida directamente. Se considera que la autenticación de vinculación directa es más eficiente porque no requiere búsqueda.

Información acerca de la autenticación de vinculación indirecta

Con la autenticación de vinculación indirecta, el usuario ingresa una credencial, como una dirección de correo electrónico, un nombre de usuario o algún otro atributo, y el sistema de autenticación de búsqueda perimetral para esa credencial o valor. Si el resultado de la búsqueda es correcto, el sistema extrae el DN LDAP de los resultados de la búsqueda y lo usa con una contraseña proporcionada para autenticar al usuario.

El punto clave que debes saber es que la autenticación de vinculación indirecta requiere al emisor (p.ej., Apigee Edge) para proporcionar credenciales de administrador de LDAP externas a fin de que Edge pueda “acceder” al LDAP externo y realizar la búsqueda. Debes proporcionar estas credenciales en un archivo de configuración de Edge, que se describe más adelante en este documento. También se describen los pasos para encriptar la credencial de la contraseña.

Información acerca de la autenticación de vinculación directa

Con la autenticación de vinculación directa, Edge envía las credenciales que ingresa un usuario directamente al sistema de autenticación externo. En este caso, no se realiza ninguna búsqueda en el sistema externo. Las credenciales proporcionadas son correctas o fallan (p.ej., si el usuario no está presente en el LDAP externo o si la contraseña es incorrecta, fallará el acceso).

La autenticación de vinculación directa no requiere que configures credenciales de administrador para el sistema de autenticación externo en Apigee Edge (como ocurre con la autenticación de vinculación indirecta). Sin embargo, debes realizar un paso de configuración simple, que se describe más adelante en este documento.