外部驗證

私有雲的邊緣 4.17.05 版

本文說明如何將外部目錄服務整合至現有的 Apigee Edge Private Cloud 安裝項目。這項功能可與任何支援 LDAP 的目錄服務搭配使用,例如 Active Directory、OpenLDAP 等。這裡包含所有步驟,讓 Apigee Edge 與您的 LDAP 服務搭配運作。

外部 LDAP 解決方案可讓系統管理員透過集中式目錄管理服務 (就使用 Apigee Edge 等系統以外) 來管理使用者憑證。本文件所述的功能同時支援直接和間接繫結驗證。

適用對象

本文假設您是全球的 Apigee Edge 全球系統管理員,且您擁有外部目錄服務的帳戶。

總覽

根據預設,Apigee Edge 會使用內部 OpenLDAP 執行個體來儲存用於使用者驗證的憑證。不過,您可以將 Edge 設為使用外部驗證 LDAP 服務,而非使用內部驗證。本文件會說明這項外部設定的程序。

Edge 也會將角色式存取「授權憑證」儲存在獨立的內部 LDAP 執行個體中。無論是否設定外部驗證服務,授權憑證「一律」儲存在這個內部 LDAP 執行個體中。本文將說明將外部 LDAP 系統中存在的使用者新增至 Edge 授權 LDAP 的程序。

請注意,「驗證」是指驗證使用者身分,授權則是指驗證已驗證使用者授予使用 Apigee Edge 功能的權限層級。

Edge 驗證和授權須知

瞭解驗證和授權之間的差異,以及 Apigee Edge 管理這兩個活動的方式,相當實用。

關於驗證

透過 UI 或 API 存取 Apigee Edge 的使用者都必須通過驗證。根據預設,用於驗證的 Edge 使用者憑證會儲存在內部 OpenLDAP 執行個體中。一般而言,使用者必須註冊或要求註冊 Apigee 帳戶,屆時必須提供使用者名稱、電子郵件地址、密碼憑證和其他中繼資料。這項資訊會儲存在驗證 LDAP 中並管理。

不過,如果您想使用外部 LDAP 代表 Edge 管理使用者憑證,請將 Edge 設為使用外部 LDAP 系統 (而非內部系統)。設定外部 LDAP 時,系統會針對該外部儲存庫驗證使用者憑證,詳情請參閱本文。

關於授權

邊緣機構管理員可授予使用者與 Apigee Edge 實體互動的特定權限,例如 API Proxy、產品、快取和部署作業等。只要將角色指派給使用者,即可授予權限。Edge 含有多種內建角色,機構管理員可以視需求定義自訂角色。舉例來說,您可以授予使用者授權 (透過角色) 來建立和更新 API Proxy,但無法將 Proxy 部署至實際工作環境。

Edge 授權系統使用的金鑰憑證是使用者的電子郵件地址。這個憑證 (連同一些其他中繼資料) 一律儲存在 Edge 的內部授權 LDAP 中。這個 LDAP 與驗證 LDAP (無論是內部還是外部) 完全分開,

透過外部 LDAP 進行驗證的使用者,也必須在授權 LDAP 系統中手動佈建。本文件中會詳細說明。

如需授權和 RBAC 的更多背景資訊,請參閱「管理機構使用者」和「指派角色」。

詳情請參閱「瞭解 Edge 驗證和授權流程」。

瞭解直接和間接繫結驗證

外部授權功能透過外部 LDAP 系統支援「直接」和「間接」繫結驗證。

摘要:如要執行間接繫結驗證,您必須在外部 LDAP 中搜尋憑證,且該憑證符合使用者在登入時提供的電子郵件地址、使用者名稱或其他 ID。使用直接繫結驗證時,系統不會執行搜尋,憑證會直接傳送給 LDAP 服務並進行驗證。由於並未涉及搜尋,因此直接繫結驗證是更有效率的做法。

關於間接繫結驗證

透過間接繫結驗證,使用者需要輸入電子郵件地址、使用者名稱或其他屬性等憑證,Edge 會搜尋這個憑證/值的驗證系統。如果搜尋結果成功,系統會從搜尋結果中擷取 LDAP DN,並搭配提供的密碼驗證使用者。

值得一提的重點是,間接繫結驗證需要呼叫端 (例如Apigee Edge) 提供外部 LDAP 管理員憑證,讓 Edge 能夠「登入」外部 LDAP 並執行搜尋。您必須在 Edge 設定檔中提供這些憑證,詳情請參閱本文後續章節。我們也會說明加密密碼憑證的步驟。

關於直接繫結驗證

透過直接繫結驗證,Edge 會將使用者輸入的憑證直接傳送至外部驗證系統。這樣一來,外部系統就不會執行搜尋作業。提供的憑證成功或失敗 (例如使用者不存在於外部 LDAP 中,或是密碼不正確,則登入就會失敗)。

直接繫結驗證不需要您在 Apigee Edge 中設定外部驗證系統的管理員憑證 (與間接繫結驗證相同);不過,您必須執行一個簡單的設定步驟,詳情請參閱本文後續章節。