边缘身份验证和授权流程

Edge for Private Cloud v4.18.05

本文档介绍 Apigee Edge 上身份验证和授权的工作原理。当您使用 Apigee Edge 配置外部 LDAP 时,此信息可能会提供有用的上下文。

身份验证和授权流程取决于用户是通过管理界面还是 API 进行身份验证。

通过界面登录时

当您通过界面登录 Edge 时,Edge 使用 Edge 全局系统管理员凭据执行单独的登录步骤,以登录 Apigee Management Server。

以下界面登录步骤如图 1 所示:

  1. 用户在登录界面中输入登录凭据。
  2. Edge 会使用全局系统管理员凭据登录管理服务器。
  3. 全局系统管理员凭据已通过身份验证并获得授权。界面会使用这些凭据发出某些平台 API 请求。
    1. 如果启用了外部身份验证,则根据外部 LDAP 对凭据进行身份验证,否则使用内部边缘 LDAP。
    2. 除非您启用了外部角色映射,否则始终针对内部 LDAP 执行授权。
  4. 用户输入的凭据通过了身份验证并获得授权。
    1. 如果启用了外部身份验证,则根据外部 LDAP 对凭据进行身份验证,否则使用内部边缘 LDAP。
    2. 除非您启用了外部角色映射,否则始终针对内部 LDAP 执行授权。

下图显示了通过 Edge 界面进行授权和身份验证:

图 1:通过 Edge 界面进行授权和身份验证

通过 API 登录时

通过 API 登录 Edge 时,系统只会使用通过 API 输入的凭据。与界面登录不同,用户无需使用系统管理员凭据单独登录。

以下 API 登录步骤如图 2 所示:

  1. 用户在登录界面中输入登录凭据。
  2. 用户输入的凭据已通过身份验证并获得授权。
  3. 如果启用了外部身份验证,则根据外部 LDAP 对凭据进行身份验证,否则使用内部边缘 LDAP。
  4. 除非您启用了外部角色映射,否则始终针对内部 LDAP 执行授权。

下图显示了通过 Edge API 进行授权和身份验证:

图 2:通过 Edge API 进行授权和身份验证