การตรวจสอบสิทธิ์ภายนอก

Edge สำหรับ Private Cloud เวอร์ชัน 4.17.05

เอกสารนี้จะอธิบายวิธีผสานรวมบริการไดเรกทอรีภายนอกเข้ากับการติดตั้ง Private Cloud ของ Apigee Edge ที่มีอยู่ ฟีเจอร์นี้ออกแบบมาให้ใช้งานได้กับบริการไดเรกทอรีทั้งหมดที่รองรับ LDAP เช่น Active Directory, OpenLDAP และอื่นๆ ขั้นตอนทั้งหมดรวมอยู่ในส่วนนี้เพื่อให้ Apigee Edge ทำงานร่วมกับบริการ LDAP ของคุณได้

โซลูชัน LDAP ภายนอกช่วยให้ผู้ดูแลระบบจัดการข้อมูลเข้าสู่ระบบของผู้ใช้จากบริการจัดการไดเรกทอรีส่วนกลางจากภายนอกระบบอย่างเช่น Apigee Edge ได้ ฟีเจอร์ที่อธิบายในเอกสารนี้รองรับการตรวจสอบสิทธิ์ที่มีผลผูกพันทั้งโดยตรงและโดยอ้อม

ผู้ชม

เอกสารนี้จะถือว่าคุณเป็นผู้ดูแลระบบ Apigee Edge สำหรับ Private Cloud ทั่วโลก และคุณมีบัญชีบริการไดเรกทอรีภายนอก

ภาพรวม

โดยค่าเริ่มต้น Apigee Edge จะใช้อินสแตนซ์ OpenLDAP ภายในเพื่อจัดเก็บข้อมูลเข้าสู่ระบบที่ใช้สำหรับการตรวจสอบสิทธิ์ผู้ใช้ แต่คุณจะกำหนดค่า Edge ให้ใช้บริการ LDAP การตรวจสอบสิทธิ์ภายนอกแทนบริการภายในได้ ขั้นตอนสำหรับการกำหนดค่าภายนอกนี้ได้รับการอธิบายไว้ในเอกสารนี้

Edge ยังจัดเก็บข้อมูลเข้าสู่ระบบสำหรับการให้สิทธิ์ในการเข้าถึงตามบทบาทไว้ในอินสแตนซ์ LDAP ภายในที่แยกต่างหากด้วย ไม่ว่าคุณจะกำหนดค่าบริการการตรวจสอบสิทธิ์ภายนอกหรือไม่ก็ตาม ระบบจะจัดเก็บข้อมูลรับรองการให้สิทธิ์เสมอในอินสแตนซ์ LDAP ภายในนี้ ขั้นตอนการเพิ่มผู้ใช้ที่อยู่ในระบบ LDAP ภายนอกไปยัง LDAP การให้สิทธิ์ Edge ได้อธิบายไว้ในเอกสารนี้

โปรดทราบว่าการตรวจสอบสิทธิ์หมายถึงการตรวจสอบตัวตนของผู้ใช้ ส่วนการให้สิทธิ์หมายถึงการยืนยันระดับของสิทธิ์ที่ผู้ใช้ที่ตรวจสอบสิทธิ์แล้วจะได้รับอนุญาตให้ใช้ฟีเจอร์ของ Apigee Edge

สิ่งที่คุณจำเป็นต้องทราบเกี่ยวกับการตรวจสอบสิทธิ์และการให้สิทธิ์ Edge

ควรทำความเข้าใจความแตกต่างระหว่างการตรวจสอบสิทธิ์กับการให้สิทธิ์และวิธีที่ Apigee Edge จัดการ 2 กิจกรรมนี้

เกี่ยวกับการตรวจสอบสิทธิ์

ผู้ใช้ที่เข้าถึง Apigee Edge ผ่านทาง UI หรือ API จะต้องผ่านการตรวจสอบสิทธิ์ โดยค่าเริ่มต้น ข้อมูลเข้าสู่ระบบของผู้ใช้ Edge สำหรับการตรวจสอบสิทธิ์จะจัดเก็บไว้ในอินสแตนซ์ OpenLDAP ภายใน โดยทั่วไป ผู้ใช้ต้องลงทะเบียนหรือได้รับแจ้งให้ลงทะเบียนบัญชี Apigee และตอนนั้นผู้ใช้ต้องระบุชื่อผู้ใช้ อีเมล ข้อมูลเข้าสู่ระบบของรหัสผ่าน และข้อมูลเมตาอื่นๆ ข้อมูลนี้ได้รับการจัดเก็บและจัดการโดย LDAP การตรวจสอบสิทธิ์

แต่หากต้องการใช้ LDAP ภายนอกเพื่อจัดการข้อมูลเข้าสู่ระบบของผู้ใช้ในนามของ Edge คุณจะทําได้โดยกําหนดค่า Edge ให้ใช้ระบบ LDAP ภายนอกแทนระบบภายใน เมื่อกำหนดค่า LDAP ภายนอกแล้ว ระบบจะตรวจสอบข้อมูลเข้าสู่ระบบของผู้ใช้กับร้านค้าภายนอกดังกล่าว ตามที่อธิบายไว้ในเอกสารนี้

เกี่ยวกับการให้สิทธิ์

ผู้ดูแลระบบองค์กร Edge จะให้สิทธิ์ที่เฉพาะเจาะจงแก่ผู้ใช้เพื่อโต้ตอบกับเอนทิตี Apigee Edge ได้ เช่น พร็อกซี API, ผลิตภัณฑ์, แคช, การทำให้ใช้งานได้ และอื่นๆ ระบบจะให้สิทธิ์ต่างๆ ผ่านการมอบหมายบทบาทให้กับผู้ใช้ Edge มีบทบาทที่มีมาให้ในตัวหลายบทบาท และผู้ดูแลระบบองค์กรก็กำหนดบทบาทที่กำหนดเองได้หากจำเป็น ตัวอย่างเช่น ผู้ใช้อาจได้รับการให้สิทธิ์ (ผ่านบทบาท) เพื่อสร้างและอัปเดตพร็อกซี API ได้ แต่ไม่รวมถึงการทำให้ใช้งานได้ในสภาพแวดล้อมการใช้งานจริง

ข้อมูลเข้าสู่ระบบคีย์ที่ใช้โดยระบบการให้สิทธิ์ Edge คืออีเมลของผู้ใช้ ข้อมูลเข้าสู่ระบบนี้ (พร้อมกับข้อมูลเมตาอื่นๆ) จะจัดเก็บไว้ใน LDAP การให้สิทธิ์ภายในของ Edge เสมอ LDAP นี้จะแยกจาก LDAP การตรวจสอบสิทธิ์ทั้งหมด (ไม่ว่าจะเป็นภายในหรือภายนอก)

ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ผ่าน LDAP ภายนอกต้องมีการจัดสรรให้กับระบบ LDAP การให้สิทธิ์ด้วยตนเองด้วย เราได้อธิบายรายละเอียดไว้ในเอกสารนี้

หากต้องการทราบข้อมูลพื้นฐานเพิ่มเติมเกี่ยวกับการให้สิทธิ์และ RBAC โปรดดูการจัดการผู้ใช้ในองค์กรและการมอบหมายบทบาท

โปรดดูข้อมูลเพิ่มเติมที่หัวข้อการทำความเข้าใจขั้นตอนการตรวจสอบสิทธิ์ Edge และการให้สิทธิ์

การทำความเข้าใจการตรวจสอบสิทธิ์ที่มีการเชื่อมโยงทั้งโดยตรงและโดยอ้อม

ฟีเจอร์การให้สิทธิ์ภายนอกรองรับการตรวจสอบสิทธิ์การเชื่อมโยงทั้งโดยตรงและโดยอ้อมผ่านระบบ LDAP ภายนอก

สรุป: การตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อมต้องมีการค้นหาข้อมูลเข้าสู่ระบบใน LDAP ภายนอกที่ตรงกับอีเมล ชื่อผู้ใช้ หรือรหัสอื่นๆ ที่ผู้ใช้ให้ไว้เมื่อเข้าสู่ระบบ เมื่อมีการตรวจสอบสิทธิ์การเชื่อมโยงโดยตรง จะไม่มีการค้นหาเกิดขึ้น โดยบริการ LDAP จะส่งข้อมูลเข้าสู่ระบบและตรวจสอบโดยตรง การตรวจสอบสิทธิ์แบบเชื่อมโยงโดยตรงถือว่ามีประสิทธิภาพมากกว่าเพราะไม่จำเป็นต้องค้นหา

เกี่ยวกับการตรวจสอบสิทธิ์ที่มีผลผูกพันโดยอ้อม

เมื่อใช้การตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อม ผู้ใช้จะป้อนข้อมูลเข้าสู่ระบบ เช่น อีเมล ชื่อผู้ใช้ หรือแอตทริบิวต์อื่นๆ และระบบการตรวจสอบสิทธิ์การค้นหา Edge สำหรับข้อมูลเข้าสู่ระบบ/ค่านี้ หากผลการค้นหาสำเร็จ ระบบจะดึงข้อมูล DN ของ LDAP ออกจากผลการค้นหา แล้วใช้กับรหัสผ่านที่ระบุในการตรวจสอบสิทธิ์ผู้ใช้

สิ่งสำคัญที่ต้องทราบคือการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อมจะกำหนดให้ผู้เรียกใช้ (เช่น Apigee Edge) เพื่อระบุข้อมูลเข้าสู่ระบบของผู้ดูแลระบบ LDAP ภายนอกเพื่อให้ Edge "เข้าสู่ระบบ" ไปยัง LDAP ภายนอกและดำเนินการค้นหาได้ คุณต้องระบุข้อมูลเข้าสู่ระบบเหล่านี้ในไฟล์การกำหนดค่า Edge ซึ่งจะอธิบายในภายหลังในเอกสารนี้ เราจะอธิบายขั้นตอนสำหรับการเข้ารหัสข้อมูลเข้าสู่ระบบของรหัสผ่านด้วย

เกี่ยวกับการตรวจสอบสิทธิ์แบบเชื่อมโยงโดยตรง

เมื่อใช้การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรง Edge จะส่งข้อมูลเข้าสู่ระบบที่ผู้ใช้ป้อนไปยังระบบการตรวจสอบสิทธิ์ภายนอกโดยตรง ในกรณีนี้ จะไม่มีการค้นหาในระบบภายนอก ข้อมูลเข้าสู่ระบบที่ระบุสำเร็จหรือล้มเหลว (เช่น หากผู้ใช้ไม่อยู่ใน LDAP ภายนอกหรือรหัสผ่านไม่ถูกต้อง การเข้าสู่ระบบจะล้มเหลว)

การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรงไม่ได้กำหนดให้คุณต้องกำหนดค่าข้อมูลเข้าสู่ระบบของผู้ดูแลระบบสำหรับระบบการตรวจสอบสิทธิ์ภายนอกใน Apigee Edge (เช่นเดียวกับการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อม) อย่างไรก็ตาม คุณเพียงต้องทำขั้นตอนการกำหนดค่าง่ายๆ ตามที่อธิบายไว้ในเอกสารนี้ภายหลัง