Autenticazione esterna

Edge per Private Cloud v4.19.01

Questa sezione fornisce una panoramica su come i servizi di directory esterni si integrano con un'installazione esistente di Apigee Edge Private Cloud. Questa funzionalità è progettata per funzionare con qualsiasi servizio di directory che supporti LDAP, ad esempio Active Directory, OpenLDAP e altri.

Una soluzione LDAP esterna consente agli amministratori di sistema di gestire le credenziali utente da un servizio di gestione delle directory centralizzato all'esterno dei sistemi che le utilizzano, ad esempio Apigee Edge. La funzionalità descritta in questo documento supporta l'autenticazione di associazione diretta e indiretta.

Per istruzioni dettagliate sulla configurazione di un servizio di directory esterna, consulta Configurazione dell'autenticazione esterna.

Pubblico

Questo documento presuppone che tu sia un amministratore di sistema globale di Apigee Edge per Cloud privato e che disponga di un account per il servizio di directory esterna.

Panoramica

Per impostazione predefinita, Apigee Edge utilizza un'istanza OpenLDAP interna per archiviare le credenziali utilizzate per l'autenticazione degli utenti. Tuttavia, puoi configurare Edge in modo che utilizzi un servizio LDAP di autenticazione esterna anziché quello interno. La procedura per questa configurazione esterna è spiegata in questo documento.

Edge archivia inoltre le credenziali di autorizzazione di accesso basate sui ruoli in un'istanza LDAP interna separata. Indipendentemente dalla configurazione di un servizio di autenticazione esterno, le credenziali di autorizzazione vengono sempre archiviate in questa istanza LDAP interna. In questo documento viene spiegata la procedura per aggiungere gli utenti esistenti nel sistema LDAP esterno al protocollo LDAP di autorizzazione perimetrale.

Tieni presente che con autenticazione si intende la convalida dell'identità di un utente, mentre l'autorizzazione si riferisce alla verifica del livello di autorizzazione concesso a un utente autenticato per utilizzare le funzionalità di Apigee Edge.

Cosa devi sapere sull'autenticazione e sull'autorizzazione Edge

È utile comprendere la differenza tra autenticazione e autorizzazione e come Apigee Edge gestisce queste due attività.

Informazioni sull'autenticazione

Gli utenti che accedono ad Apigee Edge tramite la UI o le API devono essere autenticati. Per impostazione predefinita, le credenziali utente Edge per l'autenticazione vengono archiviate in un'istanza OpenLDAP interna. In genere, gli utenti devono registrarsi o ricevere una richiesta di registrazione per un account Apigee e a quel punto devono fornire nome utente, indirizzo email, credenziali della password e altri metadati. Queste informazioni vengono archiviate e gestite dal server LDAP di autenticazione.

Tuttavia, se vuoi utilizzare un LDAP esterno per gestire le credenziali utente per conto di Edge, puoi farlo configurando Edge in modo che utilizzi il sistema LDAP esterno anziché quello interno. Se viene configurato un LDAP esterno, le credenziali utente vengono convalidate in base all'archivio esterno, come spiegato in questo documento.

Informazioni sull'autorizzazione

Gli amministratori dell'organizzazione perimetrale possono concedere agli utenti autorizzazioni specifiche per interagire con entità Apigee Edge come proxy API, prodotti, cache, deployment e così via. Le autorizzazioni vengono concesse attraverso l'assegnazione di ruoli agli utenti. Edge include diversi ruoli integrati e, se necessario, gli amministratori dell'organizzazione possono definire ruoli personalizzati. Ad esempio, a un utente può essere concessa l'autorizzazione (tramite un ruolo) per creare e aggiornare i proxy API, ma non per eseguirne il deployment in un ambiente di produzione.

La credenziale della chiave utilizzata dal sistema di autorizzazione Edge è l'indirizzo email dell'utente. Questa credenziale (insieme ad altri metadati) viene sempre archiviata nel protocollo LDAP di autorizzazione interna di Edge. Questo LDAP è completamente separato dal LDAP di autenticazione (sia interno che esterno).

È necessario inoltre eseguire manualmente il provisioning degli utenti autenticati tramite un LDAP esterno nel sistema LDAP di autorizzazione. I dettagli sono illustrati in questo documento.

Per ulteriori informazioni sull'autorizzazione e sull'RBAC, consulta Gestire gli utenti dell'organizzazione e Assegnare i ruoli.

Per un'analisi più approfondita, vedi anche Informazioni sui flussi di autenticazione e autorizzazione Edge.

Informazioni sull'autenticazione di associazione diretta e indiretta

La funzionalità di autorizzazione esterna supporta l'autenticazione di associazione diretta e indiretta tramite il sistema LDAP esterno.

Riepilogo: l'autenticazione di associazione indiretta richiede una ricerca su LDAP esterno di credenziali che corrispondano all'indirizzo email, al nome utente o a un altro ID fornito dall'utente al momento dell'accesso. Con l'autenticazione di associazione diretta, non viene eseguita alcuna ricerca: le credenziali vengono inviate e convalidate direttamente dal servizio LDAP. L'autenticazione di associazione diretta è considerata più efficiente perché non prevede alcuna ricerca.

Informazioni sull'autenticazione dell'associazione indiretta

Con l'autenticazione con associazione indiretta, l'utente inserisce una credenziale, ad esempio un indirizzo email, un nome utente o qualche altro attributo, e Edge cerca questa credenziale/valore nel sistema di autenticazione. Se il risultato della ricerca ha esito positivo, il sistema estrae il DN LDAP dai risultati di ricerca e lo utilizza con una password fornita per autenticare l'utente.

Il punto chiave da sapere è che l'autenticazione con associazione indiretta richiede il chiamante (ad es. Apigee Edge) per fornire credenziali di amministratore LDAP esterne in modo che Edge possa "accedere" al protocollo LDAP esterno ed eseguire la ricerca. Devi fornire queste credenziali in un file di configurazione perimetrale, descritto più avanti in questo documento. Sono descritti anche i passaggi per criptare la credenziale della password.

Informazioni sull'autenticazione di associazione diretta

Con l'autenticazione dell'associazione diretta, Edge invia le credenziali inserite da un utente direttamente al sistema di autenticazione esterno. In questo caso, non viene eseguita alcuna ricerca sul sistema esterno. Le credenziali fornite hanno esito positivo o negativo (ad esempio, se l'utente non è presente nel server LDAP esterno o se la password è errata, l'accesso non andrà a buon fine).

L'autenticazione tramite associazione diretta non richiede la configurazione delle credenziali di amministratore per il sistema di autenticazione esterno in Apigee Edge (come per l'autenticazione con associazione indiretta). Tuttavia, è necessario eseguire un semplice passaggio di configurazione, descritto in Configurare l'autenticazione esterna.

Accedi alla community Apigee

La community Apigee è una risorsa senza costi tramite la quale puoi contattare Apigee e altri clienti di Apigee per domande, suggerimenti e altri problemi. Prima di pubblicare post per la community, assicurati di cercare nei post esistenti per vedere se la tua domanda ha già ricevuto una risposta.