Autenticação externa

Edge para nuvem privada v4.18.01

Neste documento, explicamos como integrar um serviço de diretório externo a uma instalação de nuvem privada do Apigee Edge. Esse recurso foi projetado para funcionar com qualquer serviço de diretório compatível com LDAP, como o Active Directory, o OpenLDAP e outros. Todas as etapas estão incluídas aqui para que o Apigee Edge funcione com seu serviço LDAP.

Uma solução LDAP externa permite que os administradores do sistema gerenciem as credenciais do usuário em um serviço de gerenciamento de diretórios centralizado, externo a sistemas como o Apigee Edge. O recurso descrito neste documento é compatível com autenticação de vinculação direta e indireta.

Público-alvo

Neste documento, presumimos que você é um administrador de sistema global do Apigee Edge para nuvem privada e que tem uma conta no serviço de diretório externo.

Informações gerais

Por padrão, o Apigee Edge usa uma instância interna do OpenLDAP para armazenar as credenciais usadas na autenticação de usuários. No entanto, é possível configurar o Edge para usar um serviço LDAP de autenticação externa em vez do interno. Neste documento, explicamos o procedimento para essa configuração externa.

O Edge também armazena credenciais de autorização de acesso baseado em papéis em uma instância LDAP interna separada. Independentemente de você configurar ou não um serviço de autenticação externo, as credenciais de autorização sempre são armazenadas nessa instância LDAP interna. Neste documento, explicamos o procedimento para adicionar usuários que existem no sistema LDAP externo ao LDAP de autorização de borda.

Autenticação refere-se à validação da identidade de um usuário, enquanto a autorização refere-se à verificação do nível de permissão que um usuário autenticado recebe para usar os recursos do Apigee Edge.

O que você precisa saber sobre autenticação e autorização do Edge

É útil entender a diferença entre autenticação e autorização e como o Apigee Edge gerencia essas duas atividades.

Sobre a autenticação

Os usuários que acessam o Apigee Edge pela interface ou por APIs precisam ser autenticados. Por padrão, as credenciais dos usuários do Edge para autenticação são armazenadas em uma instância interna do OpenLDAP. Normalmente, os usuários precisam se registrar ou receber uma solicitação para se registrar em uma conta da Apigee e, nesse momento, eles fornecem nome de usuário, endereço de e-mail, credenciais de senha e outros metadados. Essas informações são armazenadas e gerenciadas pelo LDAP de autenticação.

No entanto, se você quiser usar um LDAP externo para gerenciar credenciais de usuário em nome do Edge, configure o Edge para usar o sistema LDAP externo em vez do sistema interno. Quando um LDAP externo é configurado, as credenciais do usuário são validadas nesse armazenamento externo, conforme explicado neste documento.

Sobre a autorização

Os administradores da organização de borda podem conceder permissões específicas aos usuários para interagir com entidades do Apigee Edge, como proxies de API, produtos, caches, implantações e assim por diante. As permissões são concedidas pela atribuição de papéis aos usuários. O Edge tem vários papéis integrados e, se necessário, os administradores da organização podem definir papéis personalizados. Por exemplo, um usuário pode receber autorização (por meio de um papel) para criar e atualizar proxies de API, mas não para implantá-los em um ambiente de produção.

A credencial da chave usada pelo sistema de autorização do Edge é o endereço de e-mail do usuário. Essa credencial e alguns outros metadados são sempre armazenadas no LDAP de autorização interna do Edge. Esse LDAP é totalmente separado do LDAP de autenticação, seja ele interno ou externo.

Os usuários autenticados por um LDAP externo também precisam ser provisionados manualmente no sistema LDAP de autorização. Os detalhes são explicados neste documento.

Para mais informações sobre autorização e RBAC, consulte Como gerenciar usuários da organização e Como atribuir papéis.

Para uma visão mais detalhada, consulte também Noções básicas sobre autenticação e fluxos de autorização de borda.

Noções básicas sobre a autenticação de vinculação direta e indireta

O recurso de autorização externa aceita autenticação de vinculação direta e indireta por meio do sistema LDAP externo.

Resumo: a autenticação de vinculação indireta requer uma pesquisa no LDAP externo para credenciais que correspondam ao endereço de e-mail, ao nome de usuário ou a outro ID fornecido pelo usuário no login. Com a autenticação de vinculação direta, nenhuma pesquisa é realizada. As credenciais são enviadas e validadas diretamente pelo serviço LDAP. A autenticação de vinculação direta é considerada mais eficiente porque não há pesquisa envolvida.

Sobre a autenticação de vinculação indireta

Com a autenticação de vinculação indireta, o usuário insere uma credencial, como endereço de e-mail, nome de usuário ou algum outro atributo, e o Edge procura essa credencial/valor no sistema de autenticação. Se o resultado da pesquisa for bem-sucedido, o sistema extrairá o DN LDAP dos resultados da pesquisa e o usará com uma senha fornecida para autenticar o usuário.

O ponto principal a saber é que a autenticação de vinculação indireta exige o autor da chamada (por exemplo, Apigee Edge) para fornecer credenciais de administrador de LDAP externas para que o Edge possa "fazer login" no LDAP externo e realizar a pesquisa. Você precisa fornecer essas credenciais em um arquivo de configuração do Edge, descrito mais adiante neste documento. As etapas também são descritas para criptografar a credencial da senha.

Sobre a autenticação de vinculação direta

Com a autenticação de vinculação direta, o Edge envia as credenciais inseridas por um usuário diretamente para o sistema de autenticação externo. Nesse caso, nenhuma pesquisa é realizada no sistema externo. As credenciais fornecidas serão bem-sucedidas ou falharão. Por exemplo, se o usuário não estiver presente no LDAP externo ou se a senha estiver incorreta, o login falhará.

A autenticação de vinculação direta não exige que você configure as credenciais de administrador para o sistema de autenticação externo no Apigee Edge (como na autenticação de vinculação indireta). No entanto, há uma etapa simples de configuração que precisa ser executada, descrita mais adiante neste documento.