Edge cho đám mây riêng tư phiên bản 4.18.01
Tài liệu này giải thích cách tích hợp một dịch vụ thư mục bên ngoài vào quy trình cài đặt Đám mây riêng tư Apigee Edge. Tính năng này được thiết kế để hoạt động với mọi dịch vụ thư mục hỗ trợ LDAP, chẳng hạn như Active Directory, OpenLDAP và các dịch vụ khác. Sau đây là tất cả các bước để giúp Apigee Edge làm việc với dịch vụ LDAP của bạn.
Một giải pháp LDAP bên ngoài cho phép quản trị viên hệ thống quản lý thông tin xác thực của người dùng từ một dịch vụ quản lý thư mục tập trung, bên ngoài những hệ thống như Apigee Edge sử dụng các dịch vụ đó. Tính năng được mô tả trong tài liệu này hỗ trợ cả việc xác thực liên kết trực tiếp và gián tiếp.
Đối tượng người xem
Tài liệu này giả định rằng bạn là quản trị viên toàn cầu của Apigee Edge for Private Cloud và rằng bạn có một tài khoản sử dụng dịch vụ thư mục bên ngoài.
Tổng quan
Theo mặc định, Apigee Edge sử dụng một thực thể OpenLDAP nội bộ để lưu trữ thông tin xác thực dùng cho hoạt động xác thực người dùng. Tuy nhiên, bạn có thể định cấu hình Edge để sử dụng dịch vụ LDAP xác thực bên ngoài thay vì dịch vụ nội bộ. Quy trình cho cấu hình bên ngoài này được giải thích trong tài liệu này.
Edge cũng lưu trữ thông tin xác thực cấp quyền truy cập dựa trên vai trò trong một thực thể LDAP nội bộ riêng biệt. Cho dù bạn có định cấu hình dịch vụ xác thực bên ngoài hay không thì thông tin xác thực uỷ quyền luôn được lưu trữ trong thực thể LDAP nội bộ này. Quy trình thêm người dùng tồn tại trong hệ thống LDAP bên ngoài vào LDAP cấp quyền cho Edge được giải thích trong tài liệu này.
Xin lưu ý rằng xác thực là việc xác thực danh tính của người dùng, còn quy trình uỷ quyền là việc xác minh cấp độ quyền mà một người dùng đã xác thực được cấp để sử dụng các tính năng của Apigee Edge.
Những điều bạn cần biết về việc xác thực và uỷ quyền ở Edge
Bạn nên nắm được sự khác biệt giữa xác thực và uỷ quyền, cũng như cách Apigee Edge quản lý hai hoạt động này.
Giới thiệu về tính năng xác thực
Bạn phải xác thực những người dùng truy cập vào Apigee Edge thông qua giao diện người dùng hoặc API. Theo mặc định, thông tin xác thực của người dùng Edge để xác thực sẽ được lưu trữ trong một thực thể OpenLDAP nội bộ. Thông thường, người dùng phải đăng ký hoặc được yêu cầu đăng ký tài khoản Apigee. Khi đó, họ phải cung cấp tên người dùng, địa chỉ email, thông tin đăng nhập mật khẩu và các siêu dữ liệu khác. Thông tin này được lưu trữ trong và quản lý bởi LDAP xác thực.
Tuy nhiên, nếu muốn sử dụng LDAP bên ngoài để quản lý thông tin xác thực người dùng thay cho Edge, bạn có thể thực hiện bằng cách định cấu hình Edge để sử dụng hệ thống LDAP bên ngoài thay vì hệ thống nội bộ. Khi một LDAP bên ngoài được định cấu hình, thông tin xác thực của người dùng sẽ được xác thực dựa trên cửa hàng bên ngoài đó, như giải thích trong tài liệu này.
Giới thiệu về việc uỷ quyền
Quản trị viên tổ chức Edge có thể cấp các quyền cụ thể cho người dùng để tương tác với các thực thể Apigee Edge như proxy API, sản phẩm, bộ nhớ đệm, phiên bản triển khai, v.v. Quyền được cấp thông qua việc chỉ định vai trò cho người dùng. Edge bao gồm một số vai trò tích hợp sẵn và nếu cần, quản trị viên tổ chức có thể xác định các vai trò tuỳ chỉnh. Ví dụ: người dùng có thể được cấp quyền (thông qua vai trò) để tạo và cập nhật proxy API, nhưng không được triển khai các proxy này cho môi trường sản xuất.
Thông tin đăng nhập khoá mà hệ thống uỷ quyền Edge sử dụng là địa chỉ email của người dùng. Thông tin đăng nhập này (cùng với một số siêu dữ liệu khác) luôn được lưu trữ trong LDAP uỷ quyền nội bộ của Edge. LDAP này hoàn toàn tách biệt với LDAP xác thực (cho dù là nội bộ hay bên ngoài).
Người dùng được xác thực qua LDAP bên ngoài cũng phải được cấp phép theo cách thủ công vào hệ thống LDAP cấp quyền. Thông tin chi tiết được giải thích trong tài liệu này.
Để biết thêm thông tin cơ bản về việc uỷ quyền và RBAC, hãy xem phần Quản lý người dùng của tổ chức và Chỉ định vai trò.
Để có cái nhìn sâu hơn, hãy xem thêm bài viết Tìm hiểu các quy trình xác thực và uỷ quyền trong Edge.
Tìm hiểu về quy trình xác thực liên kết trực tiếp và gián tiếp
Tính năng uỷ quyền bên ngoài hỗ trợ cả xác thực liên kết trực tiếp và gián tiếp thông qua hệ thống LDAP bên ngoài.
Tóm tắt: Xác thực liên kết gián tiếp yêu cầu tìm kiếm thông tin xác thực khớp với địa chỉ email, tên người dùng hoặc mã nhận dạng khác trên LDAP bên ngoài mà người dùng cung cấp khi đăng nhập. Với xác thực liên kết trực tiếp, không có hoạt động tìm kiếm nào được thực hiện--thông tin xác thực được dịch vụ LDAP trực tiếp gửi đến và xác thực. Phương thức xác thực liên kết trực tiếp được coi là hiệu quả hơn vì không cần phải tìm kiếm.
Giới thiệu về phương thức xác thực liên kết gián tiếp
Với phương thức xác thực liên kết gián tiếp, người dùng nhập thông tin đăng nhập (chẳng hạn như địa chỉ email, tên người dùng hoặc một số thuộc tính khác) và hệ thống xác thực tìm kiếm trong Edge cho thông tin đăng nhập/giá trị này. Nếu kết quả tìm kiếm thành công, hệ thống sẽ trích xuất DN LDAP từ kết quả tìm kiếm và sử dụng DN đó với mật khẩu đã cung cấp để xác thực người dùng.
Điểm quan trọng cần biết là xác thực liên kết gián tiếp yêu cầu phương thức gọi (ví dụ: Apigee Edge) để cung cấp thông tin xác thực của quản trị viên LDAP bên ngoài để Edge có thể "đăng nhập" vào LDAP bên ngoài và thực hiện tìm kiếm. Bạn phải cung cấp những thông tin đăng nhập này trong tệp cấu hình Edge. Tệp này sẽ được mô tả ở phần sau của tài liệu này. Các bước cũng được mô tả để mã hoá thông tin xác thực mật khẩu.
Giới thiệu về phương thức xác thực liên kết trực tiếp
Với phương thức xác thực liên kết trực tiếp, Edge sẽ gửi thông tin xác thực do người dùng nhập trực tiếp đến hệ thống xác thực bên ngoài. Trong trường hợp này, không có tìm kiếm nào được thực hiện trên hệ thống bên ngoài. Thông tin xác thực được cung cấp đã thành công hoặc không thành công (ví dụ: nếu người dùng không có trong LDAP bên ngoài hoặc nếu mật khẩu không chính xác, thì quá trình đăng nhập sẽ không thành công).
Phương thức xác thực liên kết trực tiếp không yêu cầu bạn định cấu hình thông tin xác thực quản trị viên cho hệ thống xác thực bên ngoài trong Apigee Edge (như với phương thức xác thực liên kết gián tiếp); tuy nhiên, bạn phải thực hiện một bước định cấu hình đơn giản. Bước này sẽ được mô tả ở phần sau của tài liệu này.