外部認証

Edge for Private Cloud v4.19.01

このセクションでは、外部ディレクトリ サービスを既存の Apigee Edge Private Cloud に統合する方法の概要を示します。この機能は、Active Directory や OpenLDAP などの LDAP をサポートするディレクトリ サービスと連携するように設計されています。

外部 LDAP ソリューションを使用すると、システム管理者は、ユーザー認証情報を使用するシステム(Apigee Edge など)の外部にある集中管理されたディレクトリ管理サービスでユーザー認証情報を管理できます。このドキュメントで説明する機能は、直接バインディング認証と間接バインディング認証の両方をサポートしています。

外部ディレクトリ サービスを構成する方法の詳細については、外部認証を構成するをご覧ください。

対象

このドキュメントでは、ユーザーが Apigee Edge for Private Cloud のグローバル システム管理者であり、外部ディレクトリ サービスのアカウントを持っていることを前提としています。

概要

デフォルトで、Apigee Edge は内部 OpenLDAP インスタンスを使用して、ユーザー認証に使用される認証情報を格納します。しかし、Edge で内部認証 LDAP サービスではなく外部認証 LDAP サービスを使用するように構成できます。この外部構成の手順は、このドキュメントに記載しています。

Edge では、ロールベースのアクセス認可認証情報も、個別の内部 LDAP インスタンスに格納されます。外部認証サービスを構成するかどうかにかかわらず、認可認証情報は常にこの内部 LDAP インスタンスに格納されます。外部 LDAP システムに存在するユーザーを Edge 認可 LDAP に追加する手順は、このドキュメントに記載しています。

認証とは、ユーザーの身元を検証することを指し、認可とは、認証されたユーザーが Apigee Edge の機能を使用するよう許可された権限のレベルを検証することを指します。

Edge の認証と認可について知っておくべきこと

認証と認可の違いや、Apigee Edge がこれら 2 つのアクティビティをどのように管理するかについて理解することは有益です。

認証について

UI や API を通じて Apigee Edge にアクセスするユーザーは、認証されている必要があります。デフォルトでは、認証用の Edge ユーザー認証情報は内部 OpenLDAP インスタンスに格納されます。通常、ユーザーは Apigee アカウントに登録する必要があり、または登録を求められ、その時点でユーザー名、メールアドレス、パスワード認証情報、その他のメタデータを提供します。この情報は認証 LDAP に格納され、管理されます。

ただし、外部 LDAP を使用して Edge の代わりにユーザー認証情報を管理する場合、内部 LDAP サーバーではなく外部 LDAP システムを使用するように Edge を構成することで、これが可能になります。外部 LDAP を構成すると、このドキュメントで説明するように、外部ストアに対してユーザー認証情報が検証されます。

認可について

Edge 組織管理者は、API プロキシ、プロダクト、キャッシュ、デプロイなどのような、Apigee Edge エンティティとやり取りする特定の権限をユーザーに付与できます。権限は、ユーザーに役割を割り当てることで付与されます。Edge には組み込みの役割が複数あり、必要に応じて、組織管理者がカスタムの役割を定義できます。たとえば、あるユーザーは、プロキシの作成と更新を行う権限を(役割を介して)付与されるものの、本番環境へのデプロイはできないなどです。

Edge 認可システムで使用される主要な認証情報は、ユーザーのメールアドレスです。この認証情報は(他のメタデータとともに)、常に Edge の内部認可 LDAP に格納されます。この LDAP は、(内部または外部)認可 LDAP とは完全に別のものです。

外部 LDAP によって認証されているユーザーについては、この認可 LDAP システムに手動でプロビジョニングする必要があります。詳細はこのドキュメントで説明します。

認可と RBAC の詳しい背景情報については、組織ユーザーの管理役割の割り当てをご覧ください。

より詳細に知るには、Edge 認証と認可フローについてもご覧ください。

直接と間接のバインディング認証について

外部認可機能は、外部 LDAP システムを介した直接間接の両方のバインディング認証をサポートしています。

要約: 間接バインディング認証では、ログイン時にユーザーが提供したメールアドレス、ユーザー名、または他の ID と一致する認証情報を、外部 LDAP で検索する必要があります。直接バインディング認証では、検索は実施されません。つまり、認証情報は LDAP サービスに直接送信され、検証されます。直接バインディング認証には検索が含まれていないため、より効率的であると考えられます。

間接バインディング認証について

間接バインディング認証では、ユーザーはメールアドレス、ユーザー名、その他の属性などの認証情報を入力し、Edge は認証システムでこの認証情報 / 値を検索します。検索結果が正常に得られると、システムは検索結果から LDAP DN を抽出し、提供されたパスワードとともにこれを使用して、ユーザーを認証します。

知っておくべき重要なポイントは、間接バインディング認証では、Edge が外部 LDAP に「ログイン」して検索を実施できるように、呼び出し元(たとえば Apigee Edge)が外部 LDAP の管理者認証情報を提供する必要があることです。これらの認証情報は、このドキュメントで後述する Edge 構成ファイルで指定する必要があります。パスワード認証情報を暗号化する手順についても説明します。

直接バインディング認証について

直接バインディング認証では、Edge はユーザーが入力した認証情報を外部認証システムに直接送信します。この場合、外部システムに対する検索は実施されません。これは、提供された認証情報による認証が成功するか失敗するかは関係ありません(たとえば、ユーザーが外部 LDAP に存在しない場合やパスワードが間違っている場合、ログインは失敗します)。

直接バインディング認証では、外部認証システムの管理者認証情報を Apigee Edge で構成する必要はありません(間接バインディング認証と同様)。ただし、簡単な構成手順を行う必要があります。この手順については、外部認証を構成するをご覧ください。

Apigee コミュニティの利用

Apigee コミュニティは、Apigee だけでなく他の Apigee ユーザーにも質問、ヒント、その他の問題について問い合わせができる無料のリソースです。コミュニティに投稿する前に、既存の投稿を検索して同じ質問に対する回答がないかどうかご確認ください。