Edge for Private Cloud Version 4.17.09
In diesem Dokument wird erläutert, wie Sie einen externen Verzeichnisdienst in eine vorhandene Apigee Edge Private Cloud-Installation einbinden. Dieses Feature ist für jeden Verzeichnisdienst geeignet, der LDAP unterstützt, z. B. Active Directory oder OpenLDAP. Hier sind alle Schritte enthalten, damit Apigee Edge mit Ihrem LDAP-Dienst funktioniert.
Mit einer externen LDAP-Lösung können Systemadministratoren Nutzeranmeldedaten über einen zentralen Verzeichnisverwaltungsdienst außerhalb von Systemen wie Apigee Edge verwalten, die sie verwenden. Das in diesem Dokument beschriebene Feature unterstützt sowohl die direkte als auch die indirekte Bindungsauthentifizierung.
Zielgruppe
In diesem Dokument wird davon ausgegangen, dass Sie ein globaler Systemadministrator von Apigee Edge für Private Cloud sind und ein Konto beim externen Verzeichnisdienst haben.
Überblick
Standardmäßig verwendet Apigee Edge eine interne OpenLDAP-Instanz zum Speichern von Anmeldedaten, die für die Nutzerauthentifizierung verwendet werden. Sie können Edge jedoch so konfigurieren, dass ein externer LDAP-Dienst für die Authentifizierung anstelle des internen verwendet wird. Das Verfahren für diese externe Konfiguration wird in diesem Dokument erläutert.
Edge speichert auch Autorisierungsdaten für den rollenbasierten Zugriff in einer separaten, internen LDAP-Instanz. Anmeldedaten für die Autorisierung werden immer in dieser internen LDAP-Instanz gespeichert, unabhängig davon, ob Sie einen externen Authentifizierungsdienst konfigurieren oder nicht. Das Verfahren zum Hinzufügen von Nutzern, die im externen LDAP-System zum Edge-Autorisierungs-LDAP vorhanden sind, wird in diesem Dokument erläutert.
Beachten Sie, dass sich Authentifizierung auf die Validierung der Identität eines Nutzers bezieht, während sich die Autorisierung auf die Überprüfung der Berechtigungsstufe bezieht, die einem authentifizierten Nutzer für die Verwendung von Apigee Edge-Features gewährt wird.
Wissenswertes zur Edge-Authentifizierung und -Autorisierung
Es ist hilfreich, den Unterschied zwischen Authentifizierung und Autorisierung zu verstehen und zu verstehen, wie Apigee Edge diese beiden Aktivitäten verwaltet.
Informationen zur Authentifizierung
Benutzer, die entweder über die Benutzeroberfläche oder über APIs auf Apigee Edge zugreifen, müssen authentifiziert werden. Standardmäßig werden die Edge-Nutzeranmeldedaten für die Authentifizierung in einer internen OpenLDAP-Instanz gespeichert. In der Regel müssen sich Nutzer für ein Apigee-Konto registrieren oder dazu aufgefordert werden. Dabei geben sie ihren Nutzernamen, ihre E-Mail-Adresse, ihr Passwort und andere Metadaten an. Diese Informationen werden im Authentifizierungs-LDAP gespeichert und verwaltet.
Wenn Sie jedoch ein externes LDAP verwenden möchten, um die Nutzeranmeldedaten im Namen von Edge zu verwalten, können Sie Edge so konfigurieren, dass das externe LDAP-System anstelle des internen verwendet wird. Wenn ein externes LDAP konfiguriert ist, werden die Anmeldedaten des Nutzers anhand dieses externen Speichers validiert, wie in diesem Dokument erläutert.
Informationen zur Autorisierung
Edge-Organisationsadministratoren können Benutzern bestimmte Berechtigungen gewähren, um mit Apigee Edge-Entitäten wie API-Proxys, Produkten, Caches, Bereitstellungen usw. zu interagieren. Berechtigungen werden durch die Zuweisung von Rollen an Nutzer erteilt. Edge enthält mehrere integrierte Rollen. Bei Bedarf können Organisationsadministratoren benutzerdefinierte Rollen definieren. Einem Nutzer kann beispielsweise die Autorisierung (über eine Rolle) gewährt werden, um API-Proxys zu erstellen und zu aktualisieren, aber nicht, sie in einer Produktionsumgebung bereitzustellen.
Die vom Edge-Autorisierungssystem verwendeten Schlüsselanmeldedaten sind die E-Mail-Adresse des Nutzers. Diese Anmeldedaten werden (zusammen mit einigen anderen Metadaten) immer im internen Autorisierungs-LDAP von Edge gespeichert. Dieses LDAP ist vollständig getrennt vom Authentifizierungs-LDAP (intern oder extern).
Nutzer, die über ein externes LDAP authentifiziert werden, müssen auch manuell im Autorisierungs-LDAP-System bereitgestellt werden. Die Details werden in diesem Dokument erläutert.
Weitere Informationen zu Autorisierung und RBAC finden Sie unter Organisationsnutzer verwalten und Rollen zuweisen.
Ausführlichere Informationen finden Sie unter Edge-Authentifizierungs- und Autorisierungsabläufe.
Informationen zur direkten und indirekten Bindungsauthentifizierung
Das Feature für die externe Autorisierung unterstützt sowohl die direkte als auch die indirekte Bindungsauthentifizierung über das externe LDAP-System.
Zusammenfassung: Für die indirekte Bindungsauthentifizierung muss auf dem externen LDAP-Server nach Anmeldedaten gesucht werden, die mit der E-Mail-Adresse, dem Nutzernamen oder einer anderen ID übereinstimmen, die der Nutzer bei der Anmeldung angegeben hat. Bei der Direct Binding-Authentifizierung wird keine Suche durchgeführt. Anmeldedaten werden direkt an den LDAP-Dienst gesendet und von diesem validiert. Die direkte Binding-Authentifizierung gilt als effizienter, da keine Suche durchgeführt wird.
Indirect Binding-Authentifizierung
Bei der indirekten Bindungsauthentifizierung gibt der Nutzer Anmeldedaten ein, z. B. eine E-Mail-Adresse, einen Nutzernamen oder ein anderes Attribut, und Edge sucht im Authentifizierungssystem nach diesen Anmeldedaten bzw. diesem Wert. Wenn das Suchergebnis erfolgreich ist, extrahiert das System den LDAP-DN aus den Suchergebnissen und verwendet ihn mit einem angegebenen Passwort, um den Nutzer zu authentifizieren.
Wichtig ist, dass der Aufrufer bei der indirekten Bindungsauthentifizierung (z.B. Apigee Edge), um externe LDAP-Administratoranmeldedaten bereitzustellen, damit sich Edge beim externen LDAP anmelden und die Suche ausführen kann. Sie müssen diese Anmeldedaten in einer Edge-Konfigurationsdatei angeben, die weiter unten in diesem Dokument beschrieben wird. Die Schritte werden auch für die Verschlüsselung der Passwortanmeldedaten beschrieben.
Direct Binding-Authentifizierung
Bei der Direct Binding-Authentifizierung sendet Edge von einem Benutzer eingegebene Anmeldedaten direkt an das externe Authentifizierungssystem. In diesem Fall wird auf dem externen System keine Suche durchgeführt. Die angegebenen Anmeldedaten sind entweder erfolgreich oder schlagen fehl (z.B. wenn der Nutzer nicht im externen LDAP vorhanden ist oder das Passwort falsch ist, schlägt die Anmeldung fehl).
Für die Direct Binding-Authentifizierung müssen Sie keine Administratoranmeldedaten für das externe Authentifizierungssystem in Apigee Edge konfigurieren (wie bei der indirekten Bindungsauthentifizierung). Sie müssen jedoch einen einfachen Konfigurationsschritt ausführen, der weiter unten in diesem Dokument beschrieben wird.