Ta strona została przetłumaczona przez Cloud Translation API.

Włączanie uwierzytelniania zewnętrznego

Edge for Private Cloud w wersji 4.18.05

W tej sekcji dowiesz się, jak pobrać, zainstalować i skonfigurować komponenty wymagane do zintegrowania usługi LDAP z Apigee Edge w celu uwierzytelniania użytkowników.

Wymagania wstępne

Musisz mieć zainstalowaną wersję Apigee Edge for Private Cloud 4.18.05.
Aby przeprowadzić tę instalację, musisz mieć poświadczenia administratora globalnego systemu w usłudze Apigee Edge for Private Cloud.
Musisz znać katalog główny instalacji Apigee Edge for Private Cloud. Katalog główny domyślny to /opt.
Musisz dodać dane logowania administratora globalnego systemu Edge do zewnętrznego katalogu LDAP. Pamiętaj, że domyślnie dane logowania sysadmin są przechowywane w wewnętrznym katalogu LDAP Edge. Gdy przełączysz się na zewnętrzny LDAP, dane logowania administratora systemu będą uwierzytelniane tam. Dlatego dane logowania musisz udostępnić zewnętrznemu systemowi przed włączeniem uwierzytelniania zewnętrznego w Edge.
Jeśli na przykład skonfigurujesz i zainstalujesz Apigee Edge dla Private Cloud przy użyciu globalnych danych administratora systemu:
```
username: edgeuser@mydomain.com
password: Secret123
```
W tym przypadku użytkownik edgeuser@mydomain.com z hasłem Secret123 musi też występować w zewnętrznym katalogu LDAP.
Jeśli używasz klastra serwera zarządzania, musisz wykonać wszystkie czynności opisane w tym dokumencie na każdym serwerze zarządzania.

Konfigurowanie uwierzytelniania zewnętrznego

Główną czynnością, jaką musisz wykonać, jest skonfigurowanie pliku management-server.properties. Ta czynność obejmuje zatrzymanie i uruchomienie serwera Edge Management Server, podjęcie decyzji, czy chcesz używać bezpośredniego czy pośredniego wiązania, szyfrowanie poufnych danych logowania oraz inne powiązane zadania.

Ważne: zdecyduj teraz, czy zamierzasz używać metody uwierzytelniania pośredniego czy bezpośredniego wiązania. Ta decyzja wpłynie na niektóre aspekty konfiguracji. Zobacz Uwierzytelnianie zewnętrzne.
Ważne: te czynności konfiguracyjne musisz wykonać na każdym serwerze Apigee Edge Management (jeśli masz ich więcej niż 1).
Otwórz plik /opt/apigee/customer/application/management-server.properties w edytorze tekstu. Jeśli plik nie istnieje, utwórz go.
Dodaj ten wiersz:
```
conf_security_authentication.user.store=externalized.authentication
```
Uwaga: sprawdź, czy na końcu wiersza nie ma żadnych spacji.

Ten wiersz dodaje funkcję uwierzytelniania zewnętrznego do instalacji Edge for Private Cloud.
Aby ułatwić Ci ten krok, utworzyliśmy 2 dobrze opisane przykładowe konfiguracje – jedną dla bezpośredniej, a drugą dla pośredniej autoryzacji powiązanej. Zapoznaj się z przykładami poniżej, aby wybrać typ powiązania, którego chcesz użyć, i dodaj konfigurację:
- Przykładowa konfiguracja BEZPOŚREDNIEJ wiązania
- Próbka konfiguracji POWIĄZANIA POŚREDNIEJ

Ponownie uruchom serwer zarządzania:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Sprawdź, czy serwer działa:

/opt/apigee/apigee-service/bin/apigee-all status

Ważne: musisz przeprowadzić dodatkową konfigurację w jednym z tych przypadków:
1. Jeśli chcesz, aby użytkownicy logowali się za pomocą nazw innych niż adresy e-mail. W takim przypadku administrator musi się uwierzytelnić, podając nazwę użytkownika.
  
  ORAZ/LUB
2. Jeśli hasło do konta administratora w zewnętrznym LDAP jest inne niż hasło skonfigurowane podczas pierwszej instalacji Apigee Edge for Private Cloud. Zobacz Konfiguracja wymagana dla różnych danych logowania administratora systemu.

Przykład konfiguracji DIRECT BINDING

## The first property is always required to enable the external authorization feature.
## Do not change it.
conf_security_externalized.authentication.implementation.class=com.apigee.rbac.impl.LdapAuthenticatorImpl

## Identify the type of binding:
## Set to "true" for direct binding
## Set to "false" for indirect binding.
conf_security_externalized.authentication.bind.direct.type=true

## The next seven properties are needed regardless of direct or indirect binding. You need to
## configure these per your external authentication installation.
## The IP or domain for your external LDAP instance.
conf_security_externalized.authentication.server.url=ldap://localhost:389

## Your external LDAP server version.
conf_security_externalized.authentication.server.version=3

## The server timeout in milliseconds.
conf_security_externalized.authentication.server.conn.timeout=50000

## Change these baseDN values to match your external LDAP service. This attribute value will be
## provided by your external LDAP administrator, and may have more or fewer dc elements depending
## on your setup.
conf_security_externalized.authentication.user.store.baseDN=dc=apigee,dc=com

## Do not change this search string. It is used internally.
conf_security_externalized.authentication.user.store.search.query=(&(${userAttribute}=${userId}))

## Identifies the external LDAP property you want to bind against for Authentication. For
## example if you are binding against an email address in Microsoft Active Directory, this would be
## the userPrincipalName property in your external LDAP instance. Alternatively if you are binding
## against the user's ID, this would typically be in the sAMAccountName property:
conf_security_externalized.authentication.user.store.user.attribute=userPrincipalName

## The LDAP attribute where the user email value is stored. For direct binding with AD, set it to
## userPrincipalName.
conf_security_externalized.authentication.user.store.user.email.attribute=userPrincipalName

## ONLY needed for DIRECT binding.
## The direct.bind.user.directDN property defines the string that is used for the bind against the
## external authentication service. Ensure it is set as follows:
conf_security_externalized.authentication.direct.bind.user.directDN=${userDN}

Próbka konfiguracji POWIĄZANIA POŚREDNIEJ – przykładowa

## Required to enable the external authorization feature. Do not change it.
conf_security_externalized.authentication.implementation.class=com.apigee.rbac.impl.LdapAuthenticatorImpl

## Identifies the type of binding:
## Set to "true" for direct binding
## Set to "false" for indirect binding.
conf_security_externalized.authentication.bind.direct.type=false

## The next seven properties are needed regardless of direct or indirect binding. You need to
## configure these per your external LDAP installation.
## The IP or domain for your external LDAP instance.
conf_security_externalized.authentication.server.url=ldap://localhost:389

## Replace with your external LDAP server version.
conf_security_externalized.authentication.server.version=3

## Set the server timeout in milliseconds.
conf_security_externalized.authentication.server.conn.timeout=50000

## Change these baseDN values to match your external LDAP service. This attribute value will be
# provided by your external LDAP administrator, and may have more or fewer dc elements
# depending on your setup.
conf_security_externalized.authentication.user.store.baseDN=dc=apigee,dc=com

## Do not change this search string. It is used internally.
conf_security_externalized.authentication.user.store.search.query=(&(${userAttribute}=${userId}))

## Identifies the external LDAP property you want to bind against for Authentication. For example
## if you are binding against an email address, this would typically be in the
## userPrincipalName property in your external LDAP instance. Alternatively if you are binding
## against the user's ID, this would typically be in the sAMAccountName property.
## See also "Configuration required for different sysadmin credentials".
conf_security_externalized.authentication.user.store.user.attribute=userPrincipalName

## Used by Apigee to perform the Authorization step and currently, Apigee only supports email
## address for Authorization. Make sure to set it to the attribute in your external LDAP that
## stores the user's email address. Typically this will be in the userPrincipalName property.
conf_security_externalized.authentication.user.store.user.email.attribute=userPrincipalName

## The external LDAP username (for a user with search privileges on the external LDAP) and
## password and whether the password is encrypted. You must also set the attribute
## externalized.authentication.bind.direct.type to false.
## The password attribute can be encrypted or in plain text. See
## "Indirect binding only: Encrypting the external LDAP user's password"
## for encryption instructions. Set the password.encrypted attribute to "true" if the password is
## encrypted. Set it to "false" if the password is in plain text.
conf_security_externalized.authentication.indirect.bind.server.admin.dn=myExtLdapUsername
conf_security_externalized.authentication.indirect.bind.server.admin.password=myExtLdapPassword
conf_security_externalized.authentication.indirect.bind.server.admin.password.encrypted=true

Testowanie instalacji

Sprawdź, czy serwer działa:

/opt/apigee/apigee-service/bin/apigee-all status

Wykonaj to polecenie, podając zestaw danych logowania administratora globalnego systemu Apigee Edge. Wywołania interfejsu API, które zamierzamy przetestować, może wykonać tylko administrator systemu Edge.
Ważne: na zewnętrznym koncie LDAP muszą znajdować się identyczne dane logowania. Jeśli nie, musisz dodać je teraz. Pamiętaj, że nazwa użytkownika to zwykle adres e-mail, ale zależy to od konfiguracji uwierzytelniania zewnętrznego, o której mowa wcześniej w tym dokumencie.
```
curl -v http://management-server-IP:8080/v1/o -u sysadmin_username
```
Na przykład:
```
curl -v http://192.168.52.100:8080/v1/o -u jdoe@mydomain.com
```
Gdy pojawi się prośba, wpisz hasło.
Jeśli polecenie zwróci stan 200 i listę organizacji, konfiguracja jest prawidłowa. To polecenie sprawdza, czy wywołanie interfejsu API na serwerze Edge Management Server zostało uwierzytelnione za pomocą zewnętrznego systemu LDAP.