外部認証

Edge for Private Cloud バージョン 4.17.09

このドキュメントでは、外部ディレクトリ サービスを既存の Apigee Edge Private Cloud インストールに統合する方法について説明します。この機能は、Active Directory、OpenLDAP など、LDAP をサポートするディレクトリ サービスと連携するように設計されています。LDAP サービスで Apigee Edge を動作させるためのすべての手順が記載されています。

外部 LDAP ソリューションを使用すると、システム管理者は、Apigee Edge などのシステムの外部にある一元化されたディレクトリ管理サービスからユーザー認証情報を管理できます。このドキュメントで説明する機能は、直接と間接の両方のバインディング認証をサポートしています。

対象

このドキュメントは、Apigee Edge for Private Cloud のグローバル システム管理者であり、外部ディレクトリ サービスのアカウントを持っていることを前提としています。

概要

デフォルトでは、Apigee Edge は内部 OpenLDAP インスタンスを使用して、ユーザーの認証に使用する認証情報を保存します。ただし、内部認証ではなく外部認証 LDAP サービスを使用するように Edge を構成できます。このドキュメントでは、この外部構成の手順について説明します。

また、Edge は、ロールベースのアクセスの認可認証情報も別の内部 LDAP インスタンスに保存します。外部認証サービスを構成するかどうかにかかわらず、認証情報は常にこの内部 LDAP インスタンスに保存されます。このドキュメントでは、外部 LDAP システムに存在するユーザーを Edge 認可 LDAP に追加する手順について説明します。

認証はユーザーの ID を検証することを意味し、認可は、認証されたユーザーが Apigee Edge の機能を使用するために付与された権限のレベルを確認することを意味しています。

Edge の認証と認可について知っておくべきこと

認証と認可の違いと、Apigee Edge がこれら 2 つのアクティビティを管理する方法を理解しておくと、

認証について

UI または API を使用して Apigee Edge にアクセスするユーザーは認証を受ける必要があります。デフォルトでは、認証用の Edge ユーザー認証情報は内部の OpenLDAP インスタンスに保存されます。通常、ユーザーは Apigee アカウントに登録するか、登録を求められ、その際にユーザー名、メールアドレス、パスワード認証情報、その他のメタデータを指定します。この情報は認証 LDAP に格納され、管理されます。

ただし、外部 LDAP を使用して Edge に代わってユーザー認証情報を管理する場合は、内部 LDAP システムではなく外部 LDAP システムを使用するように Edge を構成します。外部 LDAP が構成されると、このドキュメントで説明するように、ユーザー認証情報がその外部ストアに対して検証されます。

承認について

Edge 組織管理者は、API プロキシ、プロダクト、キャッシュ、デプロイなどの Apigee Edge エンティティとやり取りするための特定の権限をユーザーに付与できます。権限は、ユーザーにロールを割り当てることで付与されます。Edge にはいくつかの組み込みロールが含まれています。また、必要に応じて組織管理者はカスタムロールを定義できます。たとえば、ユーザーに(ロールを介して)API プロキシを作成および更新する認可があっても、本番環境にデプロイする権限は付与されていない場合があります。

Edge 認証システムで使用される鍵の認証情報は、ユーザーのメールアドレスです。この認証情報は、他のメタデータとともに、常に Edge の内部認可 LDAP に保存されます。この LDAP は、認証 LDAP(内部または外部)とは完全に別です。

外部 LDAP で認証されたユーザーも、認可 LDAP システムに手動でプロビジョニングする必要があります。詳細については、このドキュメントをご覧ください。

認可と RBAC の詳しい背景情報については、組織ユーザーの管理ロールの割り当てをご覧ください。

詳細については、Edge の認証と認可のフローについてもご覧ください。

直接と間接のバインディング認証について

外部認証機能は、外部 LDAP システムによる直接間接の両方のバインディング認証をサポートしています。

概要: 間接バインディング認証では、ログイン時にユーザーが指定したメールアドレス、ユーザー名、その他の ID と一致する認証情報を外部 LDAP で検索する必要があります。直接バインディング認証では、検索は実行されません。認証情報が直接 LDAP サービスに送信され、検証されます。直接バインディング認証は検索が行われないため、より効率的と考えられています。

間接バインディング認証について

間接バインディング認証では、ユーザーがメールアドレス、ユーザー名、その他の属性などの認証情報を入力すると、Edge は認証システムでその認証情報または値を検索します。検索結果が成功すると、検索結果から LDAP DN が抽出され、入力されたパスワードとともにユーザーを認証します。

知っておくべき重要な点は、間接バインディング認証には呼び出し元(Apigee Edge など)に外部 LDAP 管理者の認証情報を提供して、Edge が外部 LDAP に「ログイン」して検索を実行できるようにします。これらの認証情報は、このドキュメントの後半で説明する Edge 構成ファイルで指定する必要があります。パスワード認証情報を暗号化する手順についても説明します。

直接バインディング認証について

直接バインディング認証では、Edge はユーザーが入力した認証情報を外部認証システムに直接送信します。この場合、外部システムで検索は実行されません。提供された認証情報は成功するか失敗するかのいずれかです(たとえば、ユーザーが外部 LDAP に存在しない場合やパスワードが正しくない場合、ログインは失敗します)。

直接バインディング認証では、Apigee Edge で外部認証システムの管理者認証情報を構成する必要はありません(間接バインディング認証と同様)。ただし、このドキュメントの後半で説明する簡単な構成手順を実施する必要があります。