Autentikasi Eksternal

Edge untuk Private Cloud v. 4.17.09

Dokumen ini menjelaskan cara mengintegrasikan layanan direktori eksternal ke dalam penginstalan Apigee Edge Private Cloud yang ada. Fitur ini dirancang untuk berfungsi dengan layanan direktori apa pun yang mendukung LDAP, seperti Active Directory, OpenLDAP, dan lainnya. Semua langkah disertakan di sini agar Apigee Edge dapat berfungsi dengan layanan LDAP Anda.

Solusi LDAP eksternal memungkinkan administrator sistem mengelola kredensial pengguna dari layanan pengelolaan direktori terpusat, di luar sistem seperti Apigee Edge yang menggunakannya. Fitur yang dijelaskan dalam dokumen ini mendukung autentikasi binding langsung dan tidak langsung.

Audiens

Dokumen ini mengasumsikan bahwa Anda adalah administrator sistem global Apigee Edge untuk Private Cloud dan memiliki akun layanan direktori eksternal.

Ringkasan

Secara default, Apigee Edge menggunakan instance OpenLDAP internal untuk menyimpan kredensial yang digunakan untuk autentikasi pengguna. Namun, Anda dapat mengonfigurasi Edge untuk menggunakan layanan LDAP autentikasi eksternal, bukan layanan internal. Prosedur untuk konfigurasi eksternal ini dijelaskan dalam dokumen ini.

Edge juga menyimpan kredensial otorisasi akses berbasis peran dalam instance LDAP internal yang terpisah. Terlepas dari apakah Anda mengonfigurasi layanan autentikasi eksternal atau tidak, kredensial otorisasi selalu disimpan dalam instance LDAP internal ini. Prosedur untuk menambahkan pengguna yang ada di sistem LDAP eksternal ke LDAP otorisasi Edge dijelaskan dalam dokumen ini.

Perhatikan bahwa autentikasi mengacu pada validasi identitas pengguna, sedangkan otorisasi mengacu pada verifikasi tingkat izin yang diberikan kepada pengguna terautentikasi untuk menggunakan fitur Apigee Edge.

Yang perlu Anda ketahui tentang autentikasi dan otorisasi Edge

Penting untuk memahami perbedaan antara autentikasi dan otorisasi, serta cara Apigee Edge mengelola kedua aktivitas ini.

Tentang autentikasi

Pengguna yang mengakses Apigee Edge baik melalui UI atau API harus diautentikasi. Secara default, kredensial pengguna Edge untuk autentikasi disimpan dalam instance OpenLDAP internal. Biasanya, pengguna harus mendaftar atau diminta untuk mendaftar akun Apigee, dan pada saat itu mereka memasukkan nama pengguna, alamat email, kredensial sandi, dan metadata lainnya. Informasi ini disimpan di dan dikelola oleh LDAP autentikasi.

Namun, jika ingin menggunakan LDAP eksternal untuk mengelola kredensial pengguna atas nama Edge, Anda dapat melakukannya dengan mengonfigurasi Edge agar menggunakan sistem LDAP eksternal, bukan sistem internal. Saat LDAP eksternal dikonfigurasi, kredensial pengguna divalidasi terhadap penyimpanan eksternal tersebut, seperti yang dijelaskan dalam dokumen ini.

Tentang otorisasi

Administrator organisasi Edge dapat memberikan izin khusus kepada pengguna untuk berinteraksi dengan entitas Apigee Edge seperti proxy API, produk, cache, deployment, dan sebagainya. Izin diberikan melalui penetapan peran kepada pengguna. Edge menyertakan beberapa peran bawaan, dan, jika diperlukan, administrator org dapat menentukan peran khusus. Misalnya, pengguna dapat diberi otorisasi (melalui peran) untuk membuat dan mengupdate proxy API, tetapi tidak untuk men-deploy-nya ke lingkungan produksi.

Kredensial kunci yang digunakan oleh sistem otorisasi Edge adalah alamat email pengguna. Kredensial ini (beserta beberapa metadata lainnya) selalu disimpan di LDAP otorisasi internal Edge. LDAP ini sepenuhnya terpisah dari LDAP autentikasi (baik internal maupun eksternal).

Pengguna yang diautentikasi melalui LDAP eksternal juga harus disediakan secara manual ke dalam sistem LDAP otorisasi. Detailnya dijelaskan dalam dokumen ini.

Untuk latar belakang selengkapnya tentang otorisasi dan RBAC, lihat Mengelola pengguna organisasi dan Menetapkan peran.

Untuk gambaran yang lebih mendalam, lihat juga Memahami alur autentikasi dan otorisasi Edge.

Memahami autentikasi binding langsung dan tidak langsung

Fitur otorisasi eksternal mendukung autentikasi binding langsung dan tidak langsung melalui sistem LDAP eksternal.

Ringkasan: Autentikasi binding tidak langsung memerlukan penelusuran di LDAP eksternal untuk kredensial yang cocok dengan alamat email, nama pengguna, atau ID lain yang diberikan oleh pengguna saat login. Dengan autentikasi binding langsung, tidak ada penelusuran yang dilakukan. Kredensial dikirim ke dan divalidasi secara langsung oleh layanan LDAP. Autentikasi binding langsung dianggap lebih efisien karena tidak melibatkan penelusuran.

Tentang autentikasi binding tidak langsung

Dengan autentikasi binding tidak langsung, pengguna memasukkan kredensial, seperti alamat email, nama pengguna, atau atribut lainnya, dan Edge akan menelusuri sistem autentikasi untuk kredensial/nilai ini. Jika hasil penelusuran berhasil, sistem akan mengekstrak DN LDAP dari hasil penelusuran dan menggunakannya dengan sandi yang diberikan untuk mengautentikasi pengguna.

Hal penting yang perlu diketahui adalah autentikasi binding tidak langsung memerlukan pemanggil (misalnya, Apigee Edge) untuk memberikan kredensial admin LDAP eksternal sehingga Edge dapat "login" ke LDAP eksternal dan melakukan penelusuran. Anda harus memberikan kredensial ini dalam file konfigurasi Edge, yang akan dijelaskan nanti dalam dokumen ini. Langkah-langkah juga dijelaskan untuk mengenkripsi kredensial sandi.

Tentang autentikasi binding langsung

Dengan autentikasi binding langsung, Edge mengirimkan kredensial yang dimasukkan oleh pengguna langsung ke sistem autentikasi eksternal. Dalam hal ini, penelusuran tidak akan dilakukan pada sistem eksternal. Kredensial yang diberikan dapat berhasil atau gagal (misalnya, jika pengguna tidak ada di LDAP eksternal atau jika sandi salah, login akan gagal).

Autentikasi binding langsung tidak mengharuskan Anda mengonfigurasi kredensial admin untuk sistem autentikasi eksternal di Apigee Edge (seperti pada autentikasi binding tidak langsung). Namun, ada langkah konfigurasi sederhana yang harus Anda lakukan, yang akan dijelaskan nanti dalam dokumen ini.