Edge for Private Cloud v4.18.01
外部のロール マッピングを使用すると、独自のグループまたはロールを、Apigee Edge で作成されたロールベースのアクセス制御(RBAC)のロールとグループにマッピングできます。この機能は、Edge Private Cloud でのみ使用できます。
最新情報
4.18.01 より前の Edge for Private Cloud リリースの外部ロール マッピング サービスは、非推奨になりました。外部ロール マッピングのリリース 4.18.01 は、バグの修正と新機能が追加された更新バージョンです。
- アクセス権がある必要があるユーザーの認証中に、認証 403 禁止レスポンスが返される問題を修正しました。
- X-Apigee-Current-User ヘッダーが外部ロール マッピングでサポートされるようになりました。適切なアクセス権を持つユーザー(sysadmin)は、別のユーザーに割り当てられたロールを表示できるようになりました。
前提条件
- この構成を行うには、グローバル システム管理者認証情報を持つ Apigee Private Cloud システム管理者である必要があります。
-
Apigee Edge Private Cloud インストール環境のルート ディレクトリを把握している必要があります。デフォルトのルート ディレクトリは /opt です。
設定手順の例
外部ロールのマッピングを設定する手順の例については、Apigee コミュニティ フォーラムの こちらの記事をご覧ください。
デフォルト構成
外部のロール マッピングはデフォルトで無効になっています。
外部ロール マッピングの有効化
- 次の構成を完了する前に、ExternalRoleMapperServiceV2 インターフェースを実装し、その実装を Management Server クラスパスに含める Java クラスを作成する必要があります。
/opt/apigee/edge-management-server/lib/thirdparty/
この実装の詳細については、このドキュメントで後述する ExternalRoleMapperImpl サンプル実装についてをご覧ください。 - Apigee Edge 管理サーバーにログインして、管理サーバーのプロセスを停止します。
> /opt/apigee/apigee-service/bin/apigee-service edge-management-serverstop - テキスト エディタで /opt/apigee/customer/application/management-server.properties を開きます。このファイルが存在しない場合は作成します。
- プロパティ ファイルを編集して次の設定を行います。
# 認証に使用するユーザーストア。
# LDAP ユーザーストアに「externalized.authentication」を使用します。
# 認証には引き続き LDAP を使用します。
# 外部認証の有効化について詳しくは、外部認証の有効化をご覧ください。
conf_security_authentication.user.store=externalized.authentication
# 外部認可ロールマッパーを有効にします。
conf_security_externalized.authentication.role.mapper.enabled=true conf_security_externalized.authentication.role.mapper.implementation.class=com.customer.authorization.impl.ExternalRoleMapperImpl
重要: 上記の構成で参照されている実装クラスとパッケージ名は自由に実装できます(ExternalRoleMapperImpl はクラス名です。これはあくまで一例です)。このクラスの実装の詳細については、以下の ExternalRoleMapperImpl サンプル実装についてをご覧ください。このクラスは、独自のグループを反映するために実装する必要があります。 - management-server.properties ファイルを保存します。
- management-server.properties の所有者が apigee ユーザーであることを確認します。
> chown apigee:apigee /opt/apigee/customer/application/management-server.properties - Management Server を起動します。
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server start
外部承認の無効化
外部認証を無効にするには:
- テキスト エディタで /opt/apigee/customer/application/management-server.properties を開きます。ファイルが存在しない場合は作成します。
- 認証ユーザーストアを ldap に変更します。
conf_security_authentication.user.store=ldap - このプロパティを false に設定します。
conf_security_externalized.authentication.role.mapper.enabled=false - Management Server を再起動します。
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server start
ExternalRoleMapperImpl サンプル実装について
前述の外部ロール マッピングの有効化で説明した security.properties 構成ファイル内の次の行に注目してください。
externalized.authentication.role.mapper.implementation.class=com.customer.authorization.impl.ExternalRoleMapperImpl
このクラスは ExternalRoleMapperServiceV2 インターフェースを実装しており、必須です。それぞれのグループを反映する、このクラスの独自の実装を作成する必要があります。完了したら、コンパイルしたクラスを JAR に配置し、その JAR を Management Server の次のクラスパスに配置します。
/opt/apigee/edge-management-server/lib/thirdparty/
クラスとパッケージの名前は、ExternalRoleMapperServiceV2 を実装し、クラスパスでアクセスでき、management-server.properties 構成ファイルで正しく参照されている限り、自由に指定できます。
以下に、ExternalRoleMapperImpl クラスの、適切にコメントされたサンプル実装を示します。
package com.customer.authorization.impl; import com.apigee.authentication.*; import com.apigee.authorization.namespace.OrganizationNamespace; import com.apigee.authorization.namespace.SystemNamespace; import java.util.Collection; import java.util.HashSet; import javax.naming.NamingEnumeration; import javax.naming.NamingException; import javax.naming.directory.Attributes; import javax.naming.directory.DirContext; import javax.naming.directory.InitialDirContext; import javax.naming.directory.SearchControls; import javax.naming.directory.SearchResult; /** * * Sample Implementation constructed with dummy roles with expected namespaces. */ public class ExternalRoleMapperImpl implements ExternalRoleMapperServiceV2 { InitialDirContext dirContext = null; @Override public void start(ConfigBean arg0) throws ConnectionException { try { // Customer Specific Implementation will override the // ImplementDirContextCreationLogicForSysAdmin method implementation. // Create InitialDirContext based on the system admin user credentials. dirContext = ImplementDirContextCreationLogicForSysAdmin(); } catch (NamingException e) { // TODO Auto-generated catch block throw new ConnectionException(e); } } @Override public void stop() throws Exception { } /** * This method should be replaced with customer's implementation * For given roleName under expectedNamespace, return all users that belongs to this role * @param roleName * @param expectedNamespace * @return All users that belongs to this role. For each user, please return the username/email that is stored in Apigee LDAP * @throws ExternalRoleMappingException */ @Override public Collection<String> getUsersForRole(String roleName, NameSpace expectedNamespace) throws ExternalRoleMappingException { Collection<String> users = new HashSet<>(); if (expectedNamespace instanceof SystemNamespace) { // If requesting all users with sysadmin role if (roleName.equalsIgnoreCase("sysadmin")) { // Add sysadmin's email to results users.add("sysadmin@wacapps.net"); } } else { String orgName = ((OrganizationNamespace) expectedNamespace).getOrganization(); // If requesting all users of engRole in Apigee LDAP if (roleName.equalsIgnoreCase("engRole")) { // Get all users in corresponding groups in customer's LDAP. In this case looking for 'engGroup'; SearchControls controls = new SearchControls(); controls.setSearchScope(1); try { NamingEnumeration<SearchResult> res = dirContext.search("ou=groups,dc=corp,dc=wacapps,dc=net", "cn=engGroup", new Object[]{"",""}, controls); while (res.hasMoreElements()) { SearchResult sr = res.nextElement(); // Add all users into return users.addAll(sr.getAttributes().get("users").getAll()); } } catch (NamingException e) { // Customer needs to handle the exception here } } } return users; } /** * * This method would be implemented by the customer and would be invoked * while including using X-Apigee-Current-User header in request. * * X-Apigee-Current-User allows the customer to login as another user * * Below is the basic example. * * If User has sysadmin role then it's expected to set SystemNameSpace * along with the expected NameSpace. Otherwise role's expectedNameSpace * to be set for the NameSpacedRole. * * Collection<NameSpacedRole> results = new HashSet<NameSpacedRole>(); * * NameSpacedRole sysNameSpace = new NameSpacedRole("sysadmin", * SystemNamespace.get()); * * String orgName = * ((OrganizationNamespace) expectedNameSpace).getOrganization(); * * NameSpacedRole orgNameSpace = new NameSpacedRole ("orgadmin", * expectedNameSpace); * * results.add(sysNameSpace); * * results.add(orgNameSpace); * * * @param username UserA's username * @param password UserA's password * @param requestedUsername UserB's username. Allow UserA to request UserB's userroles with * UserA's credentials when requesting UserB as X-Apigee-Current-User * @param expectedNamespace * @return * @throws ExternalRoleMappingException */ @Override public Collection<NameSpacedRole> getUserRoles(String username, String password, String requestedUsername, NameSpace expectedNamespace) throws ExternalRoleMappingException { /************************************************************/ /******************** Authenticate UserA ********************/ /************************************************************/ // Customer Specific Implementation will override the // ImplementDnameLookupLogic method implementation. // obtain dnName for given username. String dnName = ImplementDnNameLookupLogic(username); // Obtain dnName for given requestedUsername. String requestedDnName = ImplementDnNameLookupLogic(requestedUsername); if (dnName == null || requestedDnName == null) { System.out.println("Error "); } DirContext dirContext = null; try { // Customer Specific Implementation will override the // ImplementDirectoryContextCreationLogic method implementation // Create a directory context with dnName or requestedDnName and password dirContext = ImplementDirectoryContextCreationLogic(); /************************************************/ /*** Map internal groups to apigee-edge roles ***/ /************************************************/ return apigeeEdgeRoleMapper(dirContext, requestedDnName, expectedNamespace); } catch (Exception ex) { ex.printStackTrace(); System.out.println("Error in authenticating User: {}" + new Object[] { username }); } finally { // Customer implementation to close // ActiveDirectory/LDAP context. } return null; } /** * * This method would be implemented by the customer and would be invoked * wihle using username and password for authentication and without the * X-Apigee-Current-User header * * The customer can reuse implementations in * getUserRoles(String username, String password, String requestedUsername, NameSpace expectedNamespace) * by * return getUserRoles(username, password, username, expectedNamespace) * in implementations. * * or the customer can provide new implementations as shown below. */ @Override public Collection<NameSpacedRole> getUserRoles(String username, String password, NameSpace expectedNamespace) throws ExternalRoleMappingException { /*************************************************************/ /****************** Authenticate Given User ******************/ /*************************************************************/ // Customer Specific Implementation will override the // ImplementDnameLookupLogic implementation. // Obtain dnName for given username or email address. String dnName = ImplementDnNameLookupLogic(username); if (dnName == null) { System.out.println("Error "); } DirContext dirContext = null; try { // Create a directory context with username or dnName and password dirContext = ImplementDirectoryContextCreationLogic(); /************************************************/ /*** Map internal groups to apigee-edge roles ***/ /************************************************/ return apigeeEdgeRoleMapper(dirContext, dnName, expectedNamespace); } catch (Exception ex) { ex.printStackTrace(); System.out.println("Error in authenticating User: {}" + new Object[] { username }); } finally { // Customer implementation to close // ActiveDirectory/LDAP context. } return null; } /** * * This method would be implemented by the customer and would be invoked * while using security token or access token as authentication credentials. * */ @Override public Collection<NameSpacedRole> getUserRoles(String username, NameSpace expectedNamespace) throws ExternalRoleMappingException { /*************************************************************/ /****************** Authenticate Given User ******************/ /*************************************************************/ // Customer Specific Implementation will override the // ImplementDnameLookupLogic implementation. // Obtain dnName for given username or email address. String dnName = ImplementDnNameLookupLogic(username); if (dnName == null) { System.out.println("Error "); } DirContext dirContext = null; try { // Create a directory context with username or dnName and password dirContext = ImplementDirectoryContextCreationLogic(); /************************************************/ /*** Map internal groups to apigee-edge roles ***/ /************************************************/ return apigeeEdgeRoleMapper(dirContext, dnName, expectedNamespace); } catch (Exception ex) { ex.printStackTrace(); System.out.println("Error in authenticating User: {}" + new Object[] { username }); } finally { // Customer implementation to close // ActiveDirectory/LDAP context. } return null; } /** * This method should be replaced with Customer Specific Implementations * * Provided as a sample Implementation of mapping user groups to apigee-edge roles */ private Collection<NameSpacedRole> apigeeEdgeRoleMapper(DirContext dirContext, String dnName, NameSpace expectedNamespace) throws Exception { Collection<NameSpacedRole> results = new HashSet<NameSpacedRole>(); /****************************************************/ /************ Fetch internal groups *****************/ /****************************************************/ String groupDN = "OU=Groups,DC=corp,DC=wacapps,DC=net"; String userFilter = "(user=userDnName)"; SearchControls controls = new SearchControls(); controls.setSearchScope(SearchControls.ONELEVEL_SCOPE); // Looking for all groups the user belongs to in customer's LDAP NamingEnumeration<SearchResult> groups = dirContext.search(groupDN,userFilter.replace("userDnName", dnName), new Object[] { "", "" }, controls); if (groups.hasMoreElements()) { while (groups.hasMoreElements()) { SearchResult searchResult = groups.nextElement(); Attributes attributes = searchResult.getAttributes(); String groupName = attributes.get("name").get().toString(); /************************************************/ /*** Map internal groups to apigee-edge roles ***/ /************************************************/ if (groupName.equals("BusDev")) { results.add(new NameSpacedRole("businessAdmin",SystemNamespace.get())); } else if (groupName.equals("Engineering")) { if (expectedNamespace instanceof OrganizationNamespace) { String orgName = ((OrganizationNamespace) expectedNamespace).getOrganization(); results.add(new NameSpacedRole("orgadmin", new OrganizationNamespace(orgName))); } } else if (groupName.equals("Marketing")) { results.add(new NameSpacedRole("marketAdmin",SystemNamespace.get())); } else { results.add(new NameSpacedRole("readOnly",SystemNamespace.get())); } } } else { // In case of no group found or exception found we throw empty roles. System.out.println(" !!!!! NO GROUPS FOUND !!!!!"); } return results; } /** * The customer need to replace with own implementations for getting dnName for given user */ private String ImplementDnNameLookupLogic(String username) { // Connect to the customer's own LDAP to fetch user dnName return customerLDAP.getDnName(username); } /** * The customer need to replace with own implementations for creating DirContext */ private DirContext ImplementDirectoryContextCreationLogic() { // Connect to the customer's own LDAP to create DirContext for given user return customerLDAP.createLdapContextUsingCredentials(); } }