Edge for Private Cloud v4.18.05
Ce document explique le fonctionnement de l'authentification et de l'autorisation sur Apigee Edge. Ces informations peuvent vous fournir un contexte utile lorsque vous configurez un LDAP externe avec Apigee Edge.
Les flux d'authentification et d'autorisation varient selon que l'utilisateur s'authentifie via l'interface utilisateur de gestion ou via les API.
Lorsque vous vous connectez via l'interface utilisateur
Lorsque vous vous connectez à Edge via l'interface utilisateur, Edge effectue une étape de connexion distincte au serveur de gestion Apigee à l'aide des identifiants de l'administrateur système global Edge.
Les étapes de connexion à l'interface utilisateur suivantes sont illustrées dans la figure 1:
- L'utilisateur saisit les identifiants de connexion dans l'interface utilisateur.
- Edge se connecte au serveur de gestion à l'aide des identifiants de l'administrateur système global.
- Les identifiants de l'administrateur système global sont authentifiés et autorisés. L'UI utilise ces identifiants pour envoyer certaines requêtes API de la plate-forme.
- Si l'authentification externe est activée, les identifiants sont authentifiés par rapport au LDAP externe. Sinon, le LDAP Edge interne est utilisé.
- L'autorisation est toujours effectuée sur le LDAP interne, sauf si vous activez le mappage des rôles externes.
- Les identifiants saisis par l'utilisateur sont authentifiés et autorisés.
- Si l'authentification externe est activée, les identifiants sont authentifiés par rapport au LDAP externe. Sinon, le LDAP Edge interne est utilisé.
- L'autorisation est toujours effectuée sur le LDAP interne, sauf si vous activez le mappage des rôles externes.
L'image suivante illustre l'autorisation et l'authentification via l'interface utilisateur Edge:
Lorsque vous vous connectez via des API
Lorsque vous vous connectez à Edge via une API, seuls les identifiants saisis avec l'API sont utilisés. Contrairement à la connexion via l'interface utilisateur, une connexion distincte avec des identifiants d'administrateur système n'est pas nécessaire.
Les étapes de connexion à l'API suivantes sont illustrées dans la figure 2:
- L'utilisateur saisit les identifiants de connexion dans l'interface utilisateur.
- Les identifiants saisis par l'utilisateur sont authentifiés et autorisés.
- Si l'authentification externe est activée, les identifiants sont authentifiés par rapport au LDAP externe. Sinon, le LDAP Edge interne est utilisé.
- L'autorisation est toujours effectuée sur le LDAP interne, sauf si vous activez le mappage des rôles externes.
L'image suivante illustre l'autorisation et l'authentification via les API Edge: