外部身份验证

Edge for Private Cloud v4.18.01

本文档介绍如何将外部目录服务集成到现有的 Apigee Edge Private Cloud 安装中。此功能旨在与支持 LDAP 的任何目录服务(例如 Active Directory、OpenLDAP 等)搭配使用。此处包含所有步骤,以使 Apigee Edge 与 LDAP 服务配合使用。

借助外部 LDAP 解决方案,系统管理员可以通过集中式目录管理服务(位于使用它们的系统(例如 Apigee Edge)外部)管理用户凭据。本文档中介绍的功能同时支持直接绑定和间接绑定身份验证。

受众群体

本文档假定您是 Apigee Edge for Private Cloud 全球系统管理员,并且拥有外部目录服务的帐号。

概览

默认情况下,Apigee Edge 使用内部 OpenLDAP 实例来存储用于用户身份验证的凭据。但是,您可以将 Edge 配置为使用外部身份验证 LDAP 服务,而不是内部服务。本文档介绍了此外部配置的过程。

Edge 还会将基于角色的访问授权凭据存储在单独的内部 LDAP 实例中。无论您是否配置外部身份验证服务,授权凭据都始终存储在此内部 LDAP 实例中。本文档介绍了将外部 LDAP 系统中存在的用户添加到边缘授权 LDAP 的过程。

请注意,身份验证是指验证用户身份,而授权是指验证通过身份验证的用户获得使用 Apigee Edge 功能的权限级别。

关于 Edge 身份验证和授权的须知事项

您有必要了解身份验证和授权之间的区别,以及 Apigee Edge 管理这两种活动的方式。

身份验证简介

通过界面或 API 访问 Apigee Edge 的用户必须经过身份验证。默认情况下,用于身份验证的 Edge 用户凭据存储在内部 OpenLDAP 实例中。通常,用户必须注册或被要求注册 Apigee 帐号,届时他们需要提供自己的用户名、电子邮件地址、密码凭据和其他元数据。此信息存储在身份验证 LDAP 中并由其管理。

但是,如果您希望使用外部 LDAP 代表 Edge 管理用户凭据,则可以将 Edge 配置为使用外部 LDAP 系统(而不是内部 LDAP 系统)。如本文档中所述,配置外部 LDAP 后,系统会根据该外部存储区验证用户凭据。

关于授权

Edge 组织管理员可以向用户授予特定权限,使其能够与 API 代理、产品、缓存、部署等 Apigee Edge 实体进行交互。系统通过为用户分配角色来授予权限。Edge 包含多个内置角色,组织管理员可以根据需要定义自定义角色。例如,可以授予用户创建和更新 API 代理的授权(通过角色),但无法将其部署到生产环境。

边缘授权系统使用的密钥凭据是用户的电子邮件地址。此凭据(以及一些其他元数据)始终存储在 Edge 的内部授权 LDAP 中。此 LDAP 与身份验证 LDAP(无论是内部还是外部)完全分开。

通过外部 LDAP 进行身份验证的用户也必须手动预配到授权 LDAP 系统中。详情请参阅本文档。

如需详细了解授权和 RBAC,请参阅管理组织用户分配角色

如需深入了解,另请参阅了解 Edge 身份验证和授权流程

了解直接和间接绑定身份验证

外部授权功能支持通过外部 LDAP 系统进行直接间接绑定身份验证。

摘要:间接绑定身份验证需要在外部 LDAP 中搜索与用户在登录时提供的电子邮件地址、用户名或其他 ID 匹配的凭据。使用直接绑定身份验证时,不执行搜索 - 凭据会直接发送到 LDAP 服务并由其进行验证。由于不涉及搜索,直接绑定身份验证被认为更高效。

间接绑定身份验证简介

通过间接绑定身份验证,用户输入凭据(例如电子邮件地址、用户名或其他一些特性),Edge 会在身份验证系统中搜索此凭据/值。如果搜索结果成功,系统会从搜索结果中提取 LDAP DN,并将其与提供的密码结合使用,以验证用户身份。

需要了解的关键一点是,间接绑定身份验证需要调用方(例如Apigee Edge)来提供外部 LDAP 管理员凭据,以便 Edge “登录”外部 LDAP 并执行搜索。您必须在 Edge 配置文件中提供这些凭据,本文档后面部分将对其进行介绍。另外还介绍了加密密码凭据的步骤。

直接绑定身份验证简介

通过直接绑定身份验证,Edge 会将用户输入的凭据直接发送到外部身份验证系统。在这种情况下,不在外部系统上执行搜索。提供的凭据成功或失败(例如,如果用户不在外部 LDAP 中,或者密码不正确,则登录将失败)。

直接绑定身份验证不要求您在 Apigee Edge 中为外部身份验证系统配置管理员凭据(与间接绑定身份验证一样);但是,您必须执行一个简单的配置步骤,本文稍后将进行介绍。