אימות חיצוני

Edge for Private Cloud גרסה 4.17.05

במסמך הזה מוסבר איך לשלב שירות ספרייה חיצוני בהתקנה קיימת של ענן פרטי של Apigee Edge. התכונה הזו מיועדת לפעול עם כל שירות ספריות שתומך ב-LDAP, כמו Active Directory , OpenLDAP ועוד. כל השלבים כלולים כאן כדי להפעיל את Apigee Edge עם שירות ה-LDAP שלך.

פתרון LDAP חיצוני מאפשר למנהלי מערכות לנהל פרטי כניסה של משתמשים משירות מרכזי לניהול ספריות, מחוץ למערכות כמו Apigee Edge שמשתמשות בפרטים האלה. התכונה המתוארת במסמך הזה תומכת באימות מחייב ישיר ועקיף.

קהל

ההנחה במסמך זה היא שאתם משתמשים ב-Apigee Edge לאדמין גלובלי של Cloud Private Cloud ושיש לכם חשבון בשירות הספריות החיצוני.

סקירה כללית

כברירת מחדל, ב-Apigee Edge נעשה שימוש במופע פנימי של OpenLDAP כדי לאחסן את פרטי הכניסה המשמשים לאימות משתמשים. עם זאת, אפשר להגדיר את Edge לשימוש בשירות LDAP חיצוני לאימות במקום בשירות הפנימי. התהליך של ההגדרה החיצונית הזו מוסבר במסמך זה.

Edge מאחסנת גם את פרטי הכניסה להרשאה עבור גישה לפי תפקידים במכונת LDAP פנימית נפרדת. גם אם לא תגדירו שירות אימות חיצוני, פרטי הכניסה להרשאות יישמרו תמיד במופע ה-LDAP הפנימי הזה. במסמך הזה מוסבר על התהליך להוספת משתמשים שקיימים במערכת ה-LDAP החיצונית ל-LDAP ההרשאות של Edge.

הערה: אימות מתייחס לאימות זהות של משתמש, בעוד שההרשאה מתייחסת לרמת ההרשאה שהוענקה למשתמש מאומת כדי להשתמש בתכונות של Apigee Edge.

מה צריך לדעת על אימות והרשאה של Edge

כדאי להבין את ההבדל בין אימות להרשאה ואיך לנהל את שתי הפעילויות האלה ב-Apigee Edge.

מידע על אימות

משתמשים שניגשים ל-Apigee Edge דרך ממשק המשתמש או דרך ממשקי API חייבים לעבור אימות. כברירת מחדל, פרטי הכניסה של משתמש Edge לאימות נשמרים במופע פנימי של OpenLDAP. בדרך כלל משתמשים צריכים להירשם או להתבקש להירשם לחשבון Apigee. בשלב הזה, הם מספקים את שם המשתמש, כתובת האימייל, פרטי הכניסה של הסיסמה ומטא-נתונים אחרים. המידע הזה מאוחסן ב-LDAP האימות ומנוהל על ידיו.

אבל אם רוצים להשתמש ב-LDAP חיצוני כדי לנהל פרטי כניסה של משתמשים בשם Edge, צריך להגדיר את Edge כך שישתמש במערכת ה-LDAP החיצונית במקום במערכת הפנימית. כאשר מוגדר LDAP חיצוני, מתבצע אימות של פרטי הכניסה של המשתמשים מול החנות החיצונית הזאת, כמו שמוסבר במסמך הזה.

מידע על ההרשאה

אדמינים של ארגונים ב-Edge יכולים להעניק למשתמשים הרשאות ספציפיות לאינטראקציה עם ישויות של Apigee Edge כמו שרתי proxy של API, מוצרים, מטמון, פריסות ועוד. ההרשאות ניתנות באמצעות הקצאת תפקידים למשתמשים. Edge כולל כמה תפקידים מובנים. אם צריך, מנהלי ארגוניים יכולים להגדיר תפקידים בהתאמה אישית. לדוגמה, משתמש יכול לקבל הרשאה (באמצעות תפקיד) ליצור ולעדכן שרתי proxy של API, אבל לא לפרוס אותם בסביבת ייצור.

פרטי הכניסה למפתח שמשמשים את מערכת ההרשאות של Edge הם כתובת האימייל של המשתמש. פרטי הכניסה האלה (יחד עם מטא-נתונים נוספים) תמיד מאוחסנים ב-LDAP ההרשאות הפנימי של Edge. שרת ה-LDAP הזה נפרד לגמרי מ-LDAP האימות (בין אם הוא פנימי או חיצוני).

משתמשים שאומתו באמצעות LDAP חיצוני צריכים גם לקבל הקצאה ידנית למערכת ה-LDAP של ההרשאות. הפרטים מוסברים במסמך זה.

מידע נוסף על הרשאות ו-RBAC זמין במאמר ניהול משתמשים בארגון והקצאת תפקידים.

מידע נוסף זמין במאמר הסבר על תהליך האימות וההרשאות של Edge.

הסבר על אימות מחייב ישיר ועקיף

תכונת ההרשאות החיצוניות תומכת באימות קישור ישיר ועקיף דרך מערכת ה-LDAP החיצונית.

Summary: אימות קישור עקיף מחייב חיפוש ב-LDAP החיצוני כדי לאתר פרטי כניסה שתואמים לכתובת האימייל, לשם המשתמש או למזהה אחר שסופק על ידי המשתמש בהתחברות. באמצעות אימות קישור ישיר, לא מתבצע חיפוש - פרטי הכניסה נשלחים לשירות ה-LDAP ומאמתים אותם ישירות. אימות קישור ישיר נחשב ליעיל יותר כי לא כולל חיפוש.

מידע על אימות קישור עקיף

באמצעות אימות קישור עקיף, המשתמש מזין פרטי כניסה, כמו כתובת אימייל, שם משתמש או מאפיין אחר, ו-Edge מחפשת במערכת האימות של פרטי הכניסה/הערך האלה. אם תוצאת החיפוש תתבצע בהצלחה, המערכת שולפת את ה-DN של ה-LDAP מתוצאות החיפוש ומשתמשת בו עם הסיסמה שסופקה כדי לאמת את המשתמש.

חשוב לדעת שאימות קישור עקיף מחייב מבצע הקריאה (למשל, Apigee Edge) כדי לספק פרטי כניסה חיצוניים של מנהל מערכת LDAP כדי ש-Edge יוכל "להתחבר" ל-LDAP החיצוני ולבצע את החיפוש. יש לספק את פרטי הכניסה האלה בקובץ תצורה של Edge, שמתואר בהמשך המסמך. השלבים מתוארים גם להצפנה של פרטי הכניסה לסיסמה.

מידע על אימות קישור ישיר

באמצעות אימות קישור ישיר, Edge שולח את פרטי הכניסה שהמשתמשים מזינים ישירות למערכת האימות החיצונית. במקרה כזה לא יתבצע חיפוש במערכת החיצונית. פרטי הכניסה שסופקו הצליחו או נכשלים (למשל, אם המשתמש לא קיים ב-LDAP החיצוני או אם הסיסמה שגויה, ההתחברות תיכשל).

אימות קישור ישיר לא מחייב הגדרה של פרטי כניסה של אדמין למערכת האימות החיצונית ב-Apigee Edge (כמו באימות מחייב עקיף). עם זאת, יש שלב הגדרה פשוט שצריך לבצע, שמתואר בהמשך המסמך.