外部認証

Edge for Private Cloud v4.18.05

このセクションでは、外部ディレクトリ サービスを既存の Apigee Edge Private Cloud 環境に統合する方法について説明します。この機能は、Active Directory、OpenLDAP など、LDAP をサポートするすべてのディレクトリ サービスで動作するように設計されています。Apigee Edge を LDAP サービスと連携させるためのすべての手順が含まれています。

外部 LDAP ソリューションを使用すると、システム管理者は、認証情報を使用する Apigee Edge などのシステムの外部にある一元化されたディレクトリ管理サービスからユーザー認証情報を管理できます。このドキュメントで説明する機能は、直接バインディング認証と間接バインディング認証の両方をサポートしています。

視聴者

このドキュメントは、Apigee Edge for Private Cloud グローバル システム管理者で、外部ディレクトリ サービスのアカウントがあることを前提としています。

概要

デフォルトでは、Apigee Edge は内部 OpenLDAP インスタンスを使用して、ユーザーの認証に使用される認証情報を保存します。ただし、内部サービスではなく外部認証 LDAP サービスを使用するように Edge を構成できます。このドキュメントでは、この外部構成の手順について説明します。

また、ロールベースのアクセス認証情報は、別の内部 LDAP インスタンスに保存されます。外部認証サービスを構成するかどうかにかかわらず、認証情報は常にこの内部 LDAP インスタンスに保存されます。このドキュメントでは、外部 LDAP システムに存在するユーザーを Edge 認可 LDAP に追加する手順について説明します。

認証はユーザーの ID を検証することを意味し、承認は、認証されたユーザーに Apigee Edge の機能を使用するための権限のレベルを確認することをいいます。

Edge の認証と認可について知っておくべきこと

認証と認可の違いと、Apigee Edge がこれら 2 つのアクティビティを管理する方法を理解すると役に立ちます。

認証について

UI または API を使用して Apigee Edge にアクセスするユーザーは認証を受ける必要があります。デフォルトでは、Edge ユーザーの認証情報は内部 OpenLDAP インスタンスに保存されます。通常は、ユーザーが Apigee アカウントに登録するか、登録するように求められ、その際にユーザー名、メールアドレス、パスワード認証情報、その他のメタデータを入力します。この情報は、認証 LDAP に保存され、管理されます。

ただし、外部 LDAP を使用して Edge に代わってユーザー認証情報を管理する場合は、内部 LDAP ではなく外部 LDAP システムを使用するように Edge を構成します。このドキュメントで説明するように、外部 LDAP が構成されると、ユーザーの認証情報が外部ストアに対して検証されます。

認可について

Edge 組織管理者は、API プロキシ、プロダクト、キャッシュ、デプロイなどの Apigee Edge エンティティとやり取りするための特定の権限をユーザーに付与できます。権限は、ユーザーにロールを割り当てることで付与されます。Edge には、いくつかの組み込みロールが含まれています。また、必要に応じて、組織管理者がカスタムロールを定義することもできます。たとえば、ユーザーに(ロールを介して)API プロキシを作成および更新する権限を付与できますが、本番環境にデプロイすることはできません。

Edge 認証システムで使用される主な認証情報は、ユーザーのメールアドレスです。この認証情報は、他のメタデータとともに、常に Edge の内部認可 LDAP に保存されます。この LDAP は、認証 LDAP(内部または外部)から完全に分離されています。

外部 LDAP で認証されたユーザーも、認可 LDAP システムに手動でプロビジョニングする必要があります。詳細については、このドキュメントをご覧ください。

認可と RBAC の詳しい背景情報については、組織ユーザーの管理ロールの割り当てをご覧ください。

詳細については、Edge 認証と認可フローについてもご覧ください。

直接と間接のバインディング認証について

外部認証機能は、外部 LDAP システムを介した直接バインディング認証と間接バインディング認証の両方をサポートします。

概要: 間接バインディング認証では、外部 LDAP で、ログイン時にユーザーが提供したメールアドレス、ユーザー名、その他の ID に一致する認証情報を検索する必要があります。直接バインディング認証では検索は行われず、認証情報が LDAP サービスに直接送信されて検証されます。直接バインディング認証は、検索が含まれないため、より効率的であると考えられます。

間接バインディング認証について

間接バインディング認証では、認証情報(メールアドレス、ユーザー名、その他の属性など)をユーザーが入力し、Edge はこの認証情報/値を認証システムで検索します。検索結果が成功すると、システムは検索結果から LDAP DN を抽出し、それを使用してユーザーを認証します。

重要なバインディングのポイントは、間接バインディング認証では呼び出し元(例:Apigee Edge など)が外部 LDAP の管理者認証情報を提供して、外部 LDAP に「ログイン」して検索を実行できるようにします。これらの認証情報は、このドキュメントで後述する Edge 構成ファイルで指定する必要があります。パスワード認証情報の暗号化手順についても説明します。

直接バインディング認証について

直接バインディング認証では、ユーザーが入力した認証情報が外部認証システムに直接送信されます。この場合、外部システムでは検索は行われません。 提供された認証情報は成功するか失敗します(たとえば、ユーザーが外部 LDAP に存在しない場合、またはパスワードが正しくない場合、ログインは失敗します)。

直接バインディング認証では、外部認証システムの管理者認証情報を Apigee Edge で構成する必要はありません(間接バインディング認証と同様)。ただし、簡単な構成手順を行う必要があります。この手順については、外部認証を構成するをご覧ください。

Apigee コミュニティへのアクセス

Apigee コミュニティは、Apigee に関する質問、ヒント、その他の問題について Apigee のスタッフや他の Apigee ユーザーに問い合わせることや、情報交換を行える無料のリソースです。コミュニティに投稿する前に、既存の投稿を検索して同じ質問に対する回答がないかどうかご確認ください。