Externe Authentifizierung

Edge für Private Cloud v4.19.01

Dieser Abschnitt bietet einen Überblick darüber, wie externe Verzeichnisdienste in eine vorhandene Apigee Edge Private Cloud-Installation eingebunden werden. Dieses Feature funktioniert mit jedem Verzeichnisdienst, der LDAP unterstützt, z. B. Active Directory, OpenLDAP und andere.

Mit einer externen LDAP-Lösung können Systemadministratoren Nutzeranmeldedaten über einen zentralen Dienst zur Verzeichnisverwaltung außerhalb von Systemen wie Apigee Edge verwalten, die sie verwenden. Die in diesem Dokument beschriebene Funktion unterstützt sowohl die direkte als auch die indirekte Bindungsauthentifizierung.

Eine ausführliche Anleitung zum Konfigurieren eines externen Verzeichnisdienstes finden Sie unter Externe Authentifizierung konfigurieren.

Zielgruppe

In diesem Dokument wird davon ausgegangen, dass Sie Administrator des Apigee Edge for Private Cloud-Systems sind und ein Konto für den externen Verzeichnisdienst haben.

Übersicht

Apigee Edge verwendet standardmäßig eine interne OpenLDAP-Instanz, um Anmeldedaten zu speichern, die für die Authentifizierung des Nutzers verwendet werden. Sie können Edge jedoch so konfigurieren, dass ein LDAP-Dienst zur externen Authentifizierung anstelle des internen Authentifizierungsdienstes verwendet wird. Das Verfahren für diese externe Konfiguration wird in diesem Dokument erläutert.

Edge speichert auch autorisierte Anmeldedaten für den Zugriff in einer separaten internen LDAP-Instanz. Unabhängig davon, ob Sie einen externen Authentifizierungsdienst konfigurieren, werden Autorisierungsanmeldedaten immer in dieser internen LDAP-Instanz gespeichert. Das Verfahren zum Hinzufügen von Nutzern, die im externen LDAP-System vorhanden sind, wird in diesem Dokument erläutert.

Die Authentifizierung bezieht sich auf die Überprüfung der Identität eines Nutzers, die Autorisierung auf die Berechtigungsstufe, die einem authentifizierten Nutzer zur Verwendung von Apigee Edge-Funktionen gewährt wird.

Wichtige Informationen zur Edge-Authentifizierung und -Autorisierung

Dabei ist es hilfreich, den Unterschied zwischen der Authentifizierung und der Autorisierung zu verstehen und zu prüfen, wie Apigee Edge diese beiden Aktivitäten verwaltet.

Authentifizierung

Nutzer, die über die UI oder APIs auf Apigee Edge zugreifen, müssen authentifiziert werden. Edge-Nutzeranmeldedaten zur Authentifizierung werden standardmäßig in einer internen OpenLDAP-Instanz gespeichert. Normalerweise müssen sich Nutzer für ein Apigee-Konto registrieren oder aufgefordert werden, sich damit zu registrieren. Dann geben sie ihren Nutzernamen, ihre E-Mail-Adresse, ihre Anmeldedaten und andere Metadaten an. Diese Informationen werden in dem LDAP für die Authentifizierung gespeichert und verwaltet.

Wenn Sie jedoch Anmeldedaten von einem externen LDAP im Namen von Edge verwalten möchten, können Sie Edge so konfigurieren, dass das externe LDAP-System und nicht das interne verwendet wird. Wenn ein externes LDAP konfiguriert ist, werden die Anmeldedaten des Nutzers für diesen externen Speicher validiert, wie in diesem Dokument erläutert.

Informationen zur Autorisierung

Edge-Organisationsadministratoren können Nutzern bestimmte Berechtigungen zur Interaktion mit Apigee Edge-Entitäten wie API-Proxys, Produkten, Caches, Bereitstellungen usw. gewähren. Berechtigungen werden über die Zuweisung von Rollen an Nutzer gewährt. Edge umfasst mehrere integrierte Rollen und Administratoren von Organisationen können bei Bedarf benutzerdefinierte Rollen definieren. Einem Nutzer kann beispielsweise die Berechtigung zum Erstellen und Aktualisieren von API-Proxys gewährt werden, er lässt sich aber nicht in einer Produktionsumgebung bereitstellen.

Die vom Edge-Autorisierungssystem verwendeten Schlüsselanmeldedaten sind die E-Mail-Adresse des Nutzers. Dieses Ausweisdokument wird zusammen mit einigen anderen Metadaten immer im internen Autorisierungs-LDAP von Edge gespeichert. Dieses LDAP ist vollständig unabhängig vom internen oder externen Authentifizierungs-LDAP.

Nutzer, die über ein externes LDAP authentifiziert wurden, müssen auch manuell im LDAP für die Autorisierung bereitgestellt werden. Weitere Informationen finden Sie in diesem Dokument.

Weitere Informationen zur Autorisierung und zu RBAC finden Sie unter Nutzer der Organisation verwalten und Rollen zuweisen.

Ausführlichere Informationen finden Sie unter Edge-Authentifizierungs- und -Autorisierungsabläufe.

Direkte und indirekte Bindungsauthentifizierung

Die Funktion für die externe Autorisierung unterstützt die direkte und indirekte Bindungsauthentifizierung über das externe LDAP-System.

Zusammenfassung: Die indirekte Bindungsauthentifizierung erfordert eine Suche auf dem externen LDAP nach Anmeldedaten, die mit der E-Mail-Adresse, dem Nutzernamen oder einer anderen ID übereinstimmen, die der Nutzer bei der Anmeldung angegeben hat. Bei der direkten Bindungsauthentifizierung wird keine Suche durchgeführt. Anmeldedaten werden direkt an den LDAP-Dienst gesendet und validiert, Die direkte Bindungsauthentifizierung wird als effizienter angesehen, da keine Suche erforderlich ist.

Indirekte Bindungsauthentifizierung

Bei der indirekten Bindungsauthentifizierung gibt der Nutzer Anmeldedaten ein, z. B. eine E-Mail-Adresse, einen Nutzernamen oder ein anderes Attribut. Edge sucht dann im Authentifizierungssystem nach diesen Anmeldedaten. Wenn das Suchergebnis erfolgreich ist, extrahiert das System den LDAP-DN aus den Suchergebnissen und verwendet es mit einem angegebenen Passwort, um den Nutzer zu authentifizieren.

Wichtig ist, dass für die indirekte Bindungsauthentifizierung der Aufrufer erforderlich ist (z.B. Apigee Edge), um externe LDAP-Administratorinformationen bereitzustellen, damit sich Edge beim externen LDAP "anmelden" und die Suche ausführen kann. Sie müssen diese Anmeldedaten in einer Edge-Konfigurationsdatei angeben, die später in diesem Dokument beschrieben wird. Außerdem werden Schritte zum Verschlüsseln der Passwortanmeldedaten beschrieben.

Direkte Bindungsauthentifizierung

Mit der direkten Bindungsauthentifizierung sendet Edge die von einem Nutzer eingegebenen Anmeldedaten direkt an das externe Authentifizierungssystem. In diesem Fall wird im externen System nicht gesucht. Entweder sind die angegebenen Anmeldedaten erfolgreich oder schlagen fehl (z.B. wenn der Nutzer nicht im externen LDAP vorhanden ist oder das Passwort falsch ist, schlägt die Anmeldung fehl).

Für die direkte Bindungsauthentifizierung müssen Sie wie für die indirekte Bindungsauthentifizierung keine Administrator-Anmeldedaten für das externe Authentifizierungssystem in Apigee konfigurieren. Allerdings ist ein einfacher Konfigurationsschritt erforderlich, der unter Externe Authentifizierung konfigurieren beschrieben wird.

Auf die Apigee-Community zugreifen

Die Apigee-Community ist eine kostenlose Ressource, über die Sie Apigee sowie andere Apigee-Kunden mit Fragen, Tipps und anderen Problemen kontaktieren können. Bevor Sie eine Frage in der Community posten, sollten Sie zuerst nach vorhandenen Beiträgen suchen, um zu sehen, ob Ihre Frage bereits beantwortet wurde.