外部認証を有効にする

Edge for Private Cloud v4.18.05

このセクションでは、ユーザー認証のために LDAP サービスを Apigee Edge に統合するために必要なコンポーネントを取得、インストール、構成する方法について説明します。

Prerequisites

  • Apigee Edge for Private Cloud 4.18.05 がインストールされている必要があります。
  • このインストールを行うには、Apigee Edge for Private Cloud のグローバル システム管理者認証情報が必要です。
  • Apigee Edge for Private Cloud のインストールのルート ディレクトリが必要です。デフォルトのルート ディレクトリは /opt です。
  • 外部 LDAP に Edge のグローバル システム管理者認証情報を追加する必要があります。デフォルトでは、sysadmin 認証情報は Edge の内部 LDAP に保存されます。外部 LDAP に切り替えると、システム管理者の認証情報はそこで認証されます。したがって、Edge で外部認証を有効にする前に、外部システムに認証情報をプロビジョニングする必要があります。

    たとえば、グローバル システム管理者認証情報を使用して、次のように Apigee Edge for Private Cloud を構成し、インストールした場合、

    username: edgeuser@mydomain.com
    password: Secret123

    この場合、パスワード Secret123 のユーザー edgeuser@mydomain.com も外部 LDAP に存在する必要があります。

  • Management Server クラスタを実行している場合は、このドキュメントで説明するすべての手順を Management Server ごとに行う必要があります。

外部認証を構成する

主なアクティビティは、management-server.properties ファイルの構成です。これには、Edge Management Server の停止と起動、直接バインディングと間接バインディングのどちらを使用するかの決定、機密性の高い認証情報の暗号化、その他の関連するタスクが含まれます。

  1. 重要: 間接バインディングと直接バインディングのどちらの認証方法を使用するかを決定してください。この決定は、構成のいくつかの側面に影響します。外部認証をご覧ください。
  2. 重要: これらの構成手順は、Apigee Edge Management Server(複数のサーバーを実行している場合)ごとに行う必要があります。
  3. テキスト エディタで /opt/apigee/customer/application/management-server.properties を開きます。ファイルが存在しない場合は作成します。
  4. 次の行を追加します。
    conf_security_authentication.user.store=externalized.authentication

    この行により、Edge for Private Cloud インストール環境に外部認証機能が追加されます。

  5. このステップを容易にするために、2 つのよくコメントされたサンプル構成(直接バインディング認証用と間接バインディング認証用)を作成しました。使用するバインディングに応じた下記のサンプルを参考にして構成を行います。
  6. Management Server を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  7. サーバーが実行中であることを確認します。
    /opt/apigee/apigee-service/bin/apigee-all status
  8. 重要: 追加の設定は、次のいずれかまたは両方で行う必要があります。
    1. ユーザーに、メールアドレス以外のユーザー名を使用してログインさせる場合。この場合、システム管理者ユーザーもユーザー名を使用して認証を行う必要があります。

      AND / OR

    2. 外部 LDAP 内のシステム管理者ユーザー アカウントのパスワードが、最初に Apigee Edge for Private Cloud をインストールしたときに構成したパスワードと異なる場合。さまざまな sysadmin 認証情報に必要な構成をご覧ください。

直接バインディングのサンプル構成

## The first property is always required to enable the external authorization feature.
## Do not change it.
conf_security_externalized.authentication.implementation.class=com.apigee.rbac.impl.LdapAuthenticatorImpl

## Identify the type of binding:
## Set to "true" for direct binding
## Set to "false" for indirect binding.
conf_security_externalized.authentication.bind.direct.type=true

## The next seven properties are needed regardless of direct or indirect binding. You need to
## configure these per your external authentication installation.
## The IP or domain for your external LDAP instance. 
conf_security_externalized.authentication.server.url=ldap://localhost:389

## Your external LDAP server version.
conf_security_externalized.authentication.server.version=3

## The server timeout in milliseconds. 
conf_security_externalized.authentication.server.conn.timeout=50000

## Change these baseDN values to match your external LDAP service. This attribute value will be
## provided by your external LDAP administrator, and may have more or fewer dc elements depending
## on your setup.
conf_security_externalized.authentication.user.store.baseDN=dc=apigee,dc=com

## Do not change this search string. It is used internally. 
conf_security_externalized.authentication.user.store.search.query=(&(${userAttribute}=${userId}))

## Identifies the external LDAP property you want to bind against for Authentication. For
## example if you are binding against an email address in Microsoft Active Directory, this would be
## the userPrincipalName property in your external LDAP instance. Alternatively if you are binding
## against the user's ID, this would typically be in the sAMAccountName property:
conf_security_externalized.authentication.user.store.user.attribute=userPrincipalName

## The LDAP attribute where the user email value is stored. For direct binding with AD, set it to
## userPrincipalName.
conf_security_externalized.authentication.user.store.user.email.attribute=userPrincipalName

## ONLY needed for DIRECT binding.
## The direct.bind.user.directDN property defines the string that is used for the bind against the
## external authentication service. Ensure it is set as follows:
conf_security_externalized.authentication.direct.bind.user.directDN=${userDN}

間接バインディングのサンプル構成

## Required to enable the external authorization feature. Do not change it.
conf_security_externalized.authentication.implementation.class=com.apigee.rbac.impl.LdapAuthenticatorImpl

## Identifies the type of binding:
## Set to "true" for direct binding
## Set to "false" for indirect binding.
conf_security_externalized.authentication.bind.direct.type=false

## The next seven properties are needed regardless of direct or indirect binding. You need to
## configure these per your external LDAP installation.
## The IP or domain for your external LDAP instance.
conf_security_externalized.authentication.server.url=ldap://localhost:389

## Replace with your external LDAP server version.
conf_security_externalized.authentication.server.version=3

## Set the server timeout in milliseconds. 
conf_security_externalized.authentication.server.conn.timeout=50000

## Change these baseDN values to match your external LDAP service. This attribute value will be
# provided by your external LDAP administrator, and may have more or fewer dc elements
# depending on your setup.
conf_security_externalized.authentication.user.store.baseDN=dc=apigee,dc=com

## Do not change this search string. It is used internally. 
conf_security_externalized.authentication.user.store.search.query=(&(${userAttribute}=${userId}))

## Identifies the external LDAP property you want to bind against for Authentication. For example
## if you are binding against an email address, this would typically be in the
## userPrincipalName property in your external LDAP instance. Alternatively if you are binding
## against the user's ID, this would typically be in the sAMAccountName property.
## See also "Configuration required for different sysadmin credentials".
conf_security_externalized.authentication.user.store.user.attribute=userPrincipalName

## Used by Apigee to perform the Authorization step and currently, Apigee only supports email
## address for Authorization. Make sure to set it to the attribute in your external LDAP that
## stores the user's email address. Typically this will be in the userPrincipalName property.
conf_security_externalized.authentication.user.store.user.email.attribute=userPrincipalName

## The external LDAP username (for a user with search privileges on the external LDAP) and
## password and whether the password is encrypted. You must also set the attribute
## externalized.authentication.bind.direct.type to false.
## The password attribute can be encrypted or in plain text. See
## "Indirect binding only: Encrypting the external LDAP user's password"
## for encryption instructions. Set the password.encrypted attribute to "true" if the password is
## encrypted. Set it to "false" if the password is in plain text.
conf_security_externalized.authentication.indirect.bind.server.admin.dn=myExtLdapUsername
conf_security_externalized.authentication.indirect.bind.server.admin.password=myExtLdapPassword
conf_security_externalized.authentication.indirect.bind.server.admin.password.encrypted=true

インストールのテスト

  1. サーバーが実行中であることを確認します。
    /opt/apigee/apigee-service/bin/apigee-all status
  2. Apigee Edge グローバル システム管理者認証情報を指定して、次のコマンドを実行します。テストする API 呼び出しは、Edge システム管理者のみが実行できます。
    curl -v http://management-server-IP:8080/v1/o -u sysadmin_username

    次に例を示します。

    curl -v http://192.168.52.100:8080/v1/o -u jdoe@mydomain.com
  3. プロンプトが表示されたら、パスワードを入力します。

    このコマンドから 200 ステータスと組織リストが返された場合は、構成は正常です。このコマンドは、Edge Management Server への API 呼び出しが外部 LDAP システムを介して正常に認証されたことを確認します。