Edge for Private Cloud 4.18.01 sürümü
Harici Rol Eşleme, kendi gruplarınızı veya rollerinizi Apigee Edge'de oluşturulan rol tabanlı erişim denetimi (RBAC) rolleri ve gruplarıyla eşleştirmenizi sağlar. Bu özellik yalnızca Edge Private Cloud'da kullanılabilir.
Yenilikler
Private Cloud'un 4.18.01 öncesi sürümleri için Edge'e yönelik Harici Rol Eşleme hizmeti kullanımdan kaldırılmıştır. Harici Rol Eşleme'nin 4.18.01 sürümü, hataları düzeltilmiş ve yeni özellikler eklenmiş güncel bir sürümdür:
- Erişimi olması gereken kullanıcılarla kimlik doğrularken kimlik doğrulaması 403 yasak yanıtları almanıza neden olan sorun düzeltildi.
- X-Apigee-Current-User başlığı artık Harici Rol Eşleme'de desteklenmektedir. Uygun erişime sahip kullanıcılar (sysadmin) artık başka bir kullanıcıya atanan rolleri görüntüleyebilir.
Ön koşullar
- Bu yapılandırmayı gerçekleştirmek için global sistem yöneticisi kimlik bilgilerine sahip bir Apigee Private Cloud sistem yöneticisi olmanız gerekir.
-
Apigee Edge Private Cloud kurulumunuzun kök dizinini bilmeniz gerekir. Varsayılan kök dizin /opt şeklindedir.
Adım adım kurulum örneği
Harici rol eşlemesi ayarlamayla ilgili adım adım bir örnek için Apigee Topluluk Forumları'ndaki bu makaleyi inceleyin.
Varsayılan yapılandırma
Harici rol eşleme varsayılan olarak devre dışıdır.
Harici Rol Eşlemeyi Etkinleştirme
- Aşağıdaki yapılandırmayı tamamlayabilmeniz için, ExternalRoleMapperServiceV2 arayüzünü uygulayan ve uygulamanızı Yönetim Sunucusu sınıf yoluna dahil eden bir Java sınıfı oluşturmanız gerekir:
/opt/apigee/edge-management-server/lib/thirdparty/
Bu uygulama ile ilgili ayrıntılar için bu belgenin ilerleyen kısımlarında yer alan ExternalRoleMapperImpl örnek uygulaması hakkında bölümüne bakın. - Apigee Edge yönetim sunucunuza giriş yapın ve ardından yönetim sunucusu işlemini durdurun:
> /opt/../..//become-service/bin/Apigee-service Edge-management-server stop - Bir metin düzenleyicide /opt/apigee/customer/application/management-server.properties dosyasını açın. Bu dosya yoksa oluşturun.
- Aşağıdaki ayarları yapmak için özellikler dosyasını düzenleyin:
# Kimlik doğrulama için kullanılacak kullanıcı deposu.
# LDAP kullanıcı deposu için "externalized.authentication" kullanın.
# Yetkilendirme için LDAP kullanmaya devam ettiğimizi unutmayın.
# Harici kimlik doğrulamayı etkinleştirme hakkında daha fazla bilgi için Harici kimlik doğrulamayı etkinleştirme bölümüne bakın.
conf_security_authentication.user.store=externalized.authentication
#Harici yetkilendirmeler rol eşleyicisini etkinleştirin.
conf_security_externalized.authentication.role.mapper.enabled=true conf_security_externalized.authentication.role.mapper.implementation.class=com.customer.authorization.impl.ExternalRoleMapperImpl
Önemli: Yukarıdaki yapılandırmada başvurabileceğiniz uygulama sınıfı ve paket adı örnekleri ve paket adı örnekleridir. ImRole Bu sınıfı uygulamayla ilgili ayrıntılar için aşağıdaki ExternalRoleMapperImpl örnek uygulama sınıfı hakkında bölümüne bakın. Bu, kendi gruplarınızı yansıtmak için uygulamanız gereken bir sınıftır. - management-server.properties dosyasını kaydedin.
- management-server.properties dosyasının Apigee kullanıcısına ait olduğundan emin olun:?
> chown Apigee:Apigee /opt/impression/customer/application/management-server.properties - Yönetim sunucusunu başlatın:
> /opt/Apigee/Apigee-service/bin/Apigee-service Edge-management-server start
Harici Yetkilendirmeyi Devre Dışı Bırakma
Harici yetkilendirmeyi devre dışı bırakmak için:
- Bir metin düzenleyicide /opt/apigee/customer/application/management-server.properties dosyasını açın. Dosya yoksa oluşturun.
- Kimlik doğrulama kullanıcı deposunu ldap olarak değiştirin:
conf_security_authentication.user.store=ldap - Şu özelliği "false" (yanlış) olarak ayarlayın:
conf_security_externalized.authentication.role.mapper.enabled=false - Yönetim sunucusunu yeniden başlatın:
> /opt/../..//Apigee-service/bin/Apigee-service Edge-management-server start
ExternalRoleMapperImpl örnek uygulaması hakkında
Daha önce Harici rol eşlemeyi etkinleştirme bölümünde açıklanan security.properties yapılandırma dosyasında şu satırı unutmayın:
externalized.authentication.role.mapper.implementation.class=com.customer.authorization.impl.ExternalRoleMapperImpl
Bu sınıf, ExternalRoleMapperServiceV2 arayüzünü uygular ve gereklidir. Bu sınıf için, ilgili gruplarınızı yansıtan kendi uygulamanızı oluşturmanız gerekir. İşlem tamamlandığında, derlenen sınıfı bir JAR dosyasına yerleştirin ve JAR'yi Yönetim Sunucusu'nun sınıf yoluna yerleştirin:
/opt/apigee/edge-management-server/lib/thirdparty/
Sınıfa ExternalRoleMapperServiceV2 uygulaması, sınıf yolunuzdan erişilebilir olması ve management-server.properties yapılandırma dosyasında doğru bir şekilde referans verilmesi koşuluyla, sınıfı istediğiniz gibi adlandırabilir ve paketleyebilirsiniz.
Aşağıda, ExternalRoleMapperImpl sınıfının iyi yorumlanmış bir örnek uygulaması sunulmuştur.
package com.customer.authorization.impl;
import com.apigee.authentication.*;
import com.apigee.authorization.namespace.OrganizationNamespace;
import com.apigee.authorization.namespace.SystemNamespace;
import java.util.Collection;
import java.util.HashSet;
import javax.naming.NamingEnumeration;
import javax.naming.NamingException;
import javax.naming.directory.Attributes;
import javax.naming.directory.DirContext;
import javax.naming.directory.InitialDirContext;
import javax.naming.directory.SearchControls;
import javax.naming.directory.SearchResult;
/** *
* Sample Implementation constructed with dummy roles with expected namespaces.
*/
public class ExternalRoleMapperImpl
implements ExternalRoleMapperServiceV2 {
InitialDirContext dirContext = null;
@Override
public void start(ConfigBean arg0) throws ConnectionException {
try {
// Customer Specific Implementation will override the
// ImplementDirContextCreationLogicForSysAdmin method implementation.
// Create InitialDirContext based on the system admin user credentials.
dirContext = ImplementDirContextCreationLogicForSysAdmin();
} catch (NamingException e) {
// TODO Auto-generated catch block
throw new ConnectionException(e);
}
}
@Override
public void stop() throws Exception {
}
/**
* This method should be replaced with customer's implementation
* For given roleName under expectedNamespace, return all users that belongs to this role
* @param roleName
* @param expectedNamespace
* @return All users that belongs to this role. For each user, please return the username/email that is stored in Apigee LDAP
* @throws ExternalRoleMappingException
*/
@Override
public Collection<String> getUsersForRole(String roleName, NameSpace expectedNamespace) throws ExternalRoleMappingException {
Collection<String> users = new HashSet<>();
if (expectedNamespace instanceof SystemNamespace) {
// If requesting all users with sysadmin role
if (roleName.equalsIgnoreCase("sysadmin")) {
// Add sysadmin's email to results
users.add("sysadmin@wacapps.net");
}
} else {
String orgName = ((OrganizationNamespace) expectedNamespace).getOrganization();
// If requesting all users of engRole in Apigee LDAP
if (roleName.equalsIgnoreCase("engRole")) {
// Get all users in corresponding groups in customer's LDAP. In this case looking for 'engGroup';
SearchControls controls = new SearchControls();
controls.setSearchScope(1);
try {
NamingEnumeration<SearchResult> res = dirContext.search("ou=groups,dc=corp,dc=wacapps,dc=net",
"cn=engGroup", new Object[]{"",""}, controls);
while (res.hasMoreElements()) {
SearchResult sr = res.nextElement();
// Add all users into return
users.addAll(sr.getAttributes().get("users").getAll());
}
} catch (NamingException e) {
// Customer needs to handle the exception here
}
}
}
return users;
}
/**
*
* This method would be implemented by the customer and would be invoked
* while including using X-Apigee-Current-User header in request.
*
* X-Apigee-Current-User allows the customer to login as another user
*
* Below is the basic example.
*
* If User has sysadmin role then it's expected to set SystemNameSpace
* along with the expected NameSpace. Otherwise role's expectedNameSpace
* to be set for the NameSpacedRole.
*
* Collection<NameSpacedRole> results = new HashSet<NameSpacedRole>();
*
* NameSpacedRole sysNameSpace = new NameSpacedRole("sysadmin",
* SystemNamespace.get());
*
* String orgName =
* ((OrganizationNamespace) expectedNameSpace).getOrganization();
*
* NameSpacedRole orgNameSpace = new NameSpacedRole ("orgadmin",
* expectedNameSpace);
*
* results.add(sysNameSpace);
*
* results.add(orgNameSpace);
*
*
* @param username UserA's username
* @param password UserA's password
* @param requestedUsername UserB's username. Allow UserA to request UserB's userroles with
* UserA's credentials when requesting UserB as X-Apigee-Current-User
* @param expectedNamespace
* @return
* @throws ExternalRoleMappingException
*/
@Override
public Collection<NameSpacedRole> getUserRoles(String username, String password, String requestedUsername, NameSpace expectedNamespace) throws ExternalRoleMappingException {
/************************************************************/
/******************** Authenticate UserA ********************/
/************************************************************/
// Customer Specific Implementation will override the
// ImplementDnameLookupLogic method implementation.
// obtain dnName for given username.
String dnName = ImplementDnNameLookupLogic(username);
// Obtain dnName for given requestedUsername.
String requestedDnName = ImplementDnNameLookupLogic(requestedUsername);
if (dnName == null || requestedDnName == null) {
System.out.println("Error ");
}
DirContext dirContext = null;
try {
// Customer Specific Implementation will override the
// ImplementDirectoryContextCreationLogic method implementation
// Create a directory context with dnName or requestedDnName and password
dirContext = ImplementDirectoryContextCreationLogic();
/************************************************/
/*** Map internal groups to apigee-edge roles ***/
/************************************************/
return apigeeEdgeRoleMapper(dirContext, requestedDnName, expectedNamespace);
} catch (Exception ex) {
ex.printStackTrace();
System.out.println("Error in authenticating User: {}" + new Object[] { username });
} finally {
// Customer implementation to close
// ActiveDirectory/LDAP context.
}
return null;
}
/**
*
* This method would be implemented by the customer and would be invoked
* wihle using username and password for authentication and without the
* X-Apigee-Current-User header
*
* The customer can reuse implementations in
* getUserRoles(String username, String password, String requestedUsername, NameSpace expectedNamespace)
* by
* return getUserRoles(username, password, username, expectedNamespace)
* in implementations.
*
* or the customer can provide new implementations as shown below.
*/
@Override
public Collection<NameSpacedRole> getUserRoles(String username, String password, NameSpace expectedNamespace) throws ExternalRoleMappingException {
/*************************************************************/
/****************** Authenticate Given User ******************/
/*************************************************************/
// Customer Specific Implementation will override the
// ImplementDnameLookupLogic implementation.
// Obtain dnName for given username or email address.
String dnName = ImplementDnNameLookupLogic(username);
if (dnName == null) {
System.out.println("Error ");
}
DirContext dirContext = null;
try {
// Create a directory context with username or dnName and password
dirContext = ImplementDirectoryContextCreationLogic();
/************************************************/
/*** Map internal groups to apigee-edge roles ***/
/************************************************/
return apigeeEdgeRoleMapper(dirContext, dnName, expectedNamespace);
} catch (Exception ex) {
ex.printStackTrace();
System.out.println("Error in authenticating User: {}" + new Object[] { username });
} finally {
// Customer implementation to close
// ActiveDirectory/LDAP context.
}
return null;
}
/**
*
* This method would be implemented by the customer and would be invoked
* while using security token or access token as authentication credentials.
*
*/
@Override
public Collection<NameSpacedRole> getUserRoles(String username, NameSpace expectedNamespace) throws ExternalRoleMappingException {
/*************************************************************/
/****************** Authenticate Given User ******************/
/*************************************************************/
// Customer Specific Implementation will override the
// ImplementDnameLookupLogic implementation.
// Obtain dnName for given username or email address.
String dnName = ImplementDnNameLookupLogic(username);
if (dnName == null) {
System.out.println("Error ");
}
DirContext dirContext = null;
try {
// Create a directory context with username or dnName and password
dirContext = ImplementDirectoryContextCreationLogic();
/************************************************/
/*** Map internal groups to apigee-edge roles ***/
/************************************************/
return apigeeEdgeRoleMapper(dirContext, dnName, expectedNamespace);
} catch (Exception ex) {
ex.printStackTrace();
System.out.println("Error in authenticating User: {}" + new Object[] { username });
} finally {
// Customer implementation to close
// ActiveDirectory/LDAP context.
}
return null;
}
/**
* This method should be replaced with Customer Specific Implementations
*
* Provided as a sample Implementation of mapping user groups to apigee-edge roles
*/
private Collection<NameSpacedRole> apigeeEdgeRoleMapper(DirContext dirContext, String dnName, NameSpace expectedNamespace) throws Exception {
Collection<NameSpacedRole> results = new HashSet<NameSpacedRole>();
/****************************************************/
/************ Fetch internal groups *****************/
/****************************************************/
String groupDN = "OU=Groups,DC=corp,DC=wacapps,DC=net";
String userFilter = "(user=userDnName)";
SearchControls controls = new SearchControls();
controls.setSearchScope(SearchControls.ONELEVEL_SCOPE);
// Looking for all groups the user belongs to in customer's LDAP
NamingEnumeration<SearchResult> groups = dirContext.search(groupDN,userFilter.replace("userDnName", dnName), new Object[] { "", "" }, controls);
if (groups.hasMoreElements()) {
while (groups.hasMoreElements()) {
SearchResult searchResult = groups.nextElement();
Attributes attributes = searchResult.getAttributes();
String groupName = attributes.get("name").get().toString();
/************************************************/
/*** Map internal groups to apigee-edge roles ***/
/************************************************/
if (groupName.equals("BusDev")) {
results.add(new NameSpacedRole("businessAdmin",SystemNamespace.get()));
} else if (groupName.equals("Engineering")) {
if (expectedNamespace instanceof OrganizationNamespace) {
String orgName = ((OrganizationNamespace) expectedNamespace).getOrganization();
results.add(new NameSpacedRole("orgadmin", new OrganizationNamespace(orgName)));
}
} else if (groupName.equals("Marketing")) {
results.add(new NameSpacedRole("marketAdmin",SystemNamespace.get()));
} else {
results.add(new NameSpacedRole("readOnly",SystemNamespace.get()));
}
}
} else {
// In case of no group found or exception found we throw empty roles.
System.out.println(" !!!!! NO GROUPS FOUND !!!!!");
}
return results;
}
/**
* The customer need to replace with own implementations for getting dnName for given user
*/
private String ImplementDnNameLookupLogic(String username) {
// Connect to the customer's own LDAP to fetch user dnName
return customerLDAP.getDnName(username);
}
/**
* The customer need to replace with own implementations for creating DirContext
*/
private DirContext ImplementDirectoryContextCreationLogic() {
// Connect to the customer's own LDAP to create DirContext for given user
return customerLDAP.createLdapContextUsingCredentials();
}
}