Private Cloud용 Edge v4.18.05
이 섹션에서는 외부 디렉터리 서비스를 기존 Apigee Edge 프라이빗 클라우드 설치에 통합하는 방법을 설명합니다. 이 기능은 Active Directory, OpenLDAP 등 LDAP를 지원하는 모든 디렉터리 서비스에서 작동하도록 설계되었습니다. Apigee Edge를 LDAP 서비스와 함께 사용하기 위한 모든 단계가 여기에 포함되어 있습니다.
외부 LDAP 솔루션을 사용하면 시스템 관리자가 사용자 인증 정보를 사용하는 Apigee Edge 등의 시스템 외부의 중앙 집중식 디렉터리 관리 서비스에서 사용자 인증 정보를 관리할 수 있습니다. 이 문서에 설명된 기능은 직접 바인딩 인증과 간접 바인딩 인증을 모두 지원합니다.
대상
이 문서에서는 Private Cloud용 Apigee Edge 전역 시스템 관리자이고 외부 디렉터리 서비스 계정이 있다고 가정합니다.
개요
기본적으로 Apigee Edge는 내부 OpenLDAP 인스턴스를 사용하여 사용자 인증에 사용되는 사용자 인증 정보를 저장합니다. 하지만 내부 서비스 대신 외부 인증 LDAP 서비스를 사용하도록 Edge를 구성할 수 있습니다. 이 외부 구성 절차는 이 문서에 설명되어 있습니다.
또한 Edge는 역할 기반 액세스 승인 사용자 인증 정보를 별도의 내부 LDAP 인스턴스에 저장합니다. 외부 인증 서비스의 구성 여부에 관계없이 승인 사용자 인증 정보는 항상 이 내부 LDAP 인스턴스에 저장됩니다. 외부 LDAP 시스템에 있는 사용자를 Edge 승인 LDAP에 추가하는 절차는 이 문서에서 설명합니다.
인증은 사용자 ID를 검증하는 것을 의미하고, 승인은 인증된 사용자에게 Apigee Edge 기능을 사용할 수 있도록 부여된 권한 수준을 확인하는 것을 의미합니다.
Edge 인증 및 승인에 대해 알아야 할 사항
인증과 승인의 차이점과 Apigee Edge가 이 두 가지 활동을 관리하는 방법을 이해하면 도움이 됩니다.
인증 정보
UI 또는 API를 통해 Apigee Edge에 액세스하는 사용자는 인증을 받아야 합니다. 기본적으로 인증을 위한 Edge 사용자 인증 정보는 내부 OpenLDAP 인스턴스에 저장됩니다. 일반적으로 사용자는 Apigee 계정을 등록하거나 등록하라는 요청을 받아야 하며 이때 사용자 이름, 이메일 주소, 비밀번호 사용자 인증 정보, 기타 메타데이터를 제공합니다. 이 정보는 인증 LDAP에 저장되고 관리됩니다.
하지만 외부 LDAP를 사용하여 Edge를 대신하여 사용자 인증 정보를 관리하려면 내부 LDAP 시스템 대신 외부 LDAP 시스템을 사용하도록 Edge를 구성하면 됩니다. 외부 LDAP가 구성되면 이 문서에 설명된 대로 외부 저장소에 대해 사용자 인증 정보의 유효성을 검사합니다.
승인 정보
에지 조직 관리자는 API 프록시, 제품, 캐시, 배포 등의 Apigee Edge 항목과 상호작용할 수 있는 특정 권한을 사용자에게 부여할 수 있습니다. 권한은 사용자에게 역할을 할당하여 부여됩니다. Edge에는 기본 제공 역할 몇 가지가 포함되어 있으며 필요한 경우 조직 관리자가 커스텀 역할을 정의할 수 있습니다. 예를 들어 사용자에게 역할을 통해 API 프록시를 만들고 업데이트할 수 있는 권한이 부여될 수 있지만 프로덕션 환경에 배포할 수는 없습니다.
Edge 승인 시스템에서 사용하는 키 사용자 인증 정보는 사용자의 이메일 주소입니다. 이 사용자 인증 정보는 다른 일부 메타데이터와 함께 항상 Edge의 내부 승인 LDAP에 저장됩니다. 이 LDAP는 인증 LDAP (내부 또는 외부)와 완전히 별개입니다.
외부 LDAP를 통해 인증된 사용자는 승인 LDAP 시스템에 수동으로 프로비저닝해야 합니다. 자세한 내용은 이 문서에 설명되어 있습니다.
승인 및 RBAC에 대한 자세한 내용은 조직 사용자 관리 및 역할 할당을 참조하세요.
자세한 내용은 Edge 인증 및 승인 흐름 이해를 참조하세요.
직접 및 간접 바인딩 인증 이해
외부 승인 기능은 외부 LDAP 시스템을 통한 직접 및 간접 바인딩 인증을 모두 지원합니다.
요약: 간접 결합 인증을 사용하려면 외부 LDAP에서 로그인 시 사용자가 제공한 이메일 주소, 사용자 이름 또는 기타 ID와 일치하는 사용자 인증 정보를 검색해야 합니다. 직접 바인딩 인증을 사용하면 검색이 수행되지 않으며, LDAP 서비스에서 사용자 인증 정보가 직접 전송되고 검증됩니다. 직접 바인딩 인증은 검색과 관련되지 않으므로 보다 효율적인 것으로 간주됩니다.
간접 바인딩 인증 정보
간접 바인딩 인증을 사용하는 경우 사용자가 이메일 주소, 사용자 이름 또는 다른 속성과 같은 사용자 인증 정보를 입력하면 Edge는 인증 시스템에서 이 사용자 인증 정보/값을 검색합니다. 검색결과가 성공하면 시스템이 검색결과에서 LDAP DN을 추출하고 제공된 비밀번호와 함께 사용하여 사용자를 인증합니다.
여기서 핵심은 간접 바인딩 인증에는 호출자 (예: Apigee Edge)를 사용하여 Edge에서 외부 LDAP에 '로그인'하고 검색을 수행할 수 있도록 외부 LDAP 관리자 사용자 인증 정보를 제공합니다. Edge 구성 파일에서 사용자 인증 정보를 제공해야 합니다. 이 내용은 이 문서의 뒷부분에서 설명합니다. 비밀번호 사용자 인증 정보를 암호화하는 단계도 설명되어 있습니다.
직접 바인딩 인증 정보
직접 결합 인증을 사용하면 Edge에서 사용자가 입력한 사용자 인증 정보를 외부 인증 시스템으로 직접 전송합니다. 이 경우 외부 시스템에서는 검색이 수행되지 않습니다. 제공된 사용자 인증 정보가 성공하거나 실패합니다. 예를 들어 사용자가 외부 LDAP에 없거나 비밀번호가 잘못된 경우 로그인에 실패합니다.
직접 결합 인증에서는 간접 결합 인증과 마찬가지로 Apigee Edge에서 외부 인증 시스템의 관리자 사용자 인증 정보를 구성할 필요가 없습니다. 하지만 외부 인증 구성에 설명된 간단한 구성 단계를 수행해야 합니다.
Apigee 커뮤니티 액세스
Apigee 커뮤니티는 Apigee를 비롯하여 다른 Apigee 고객에게 질문, 팁, 기타 문제를 문의할 수 있는 무료 리소스입니다. 커뮤니티에 게시하기 전에 먼저 기존 게시물을 검색하여 해당 질문에 대해 이미 답변된 적이 있는지를 확인합니다.