Edge per il cloud privato v4.19.01
Questa sezione fornisce una panoramica su come i servizi di directory esterni si integrano con un'installazione del cloud privato Apigee Edge esistente. Questa funzionalità è progettata per funzionare con qualsiasi servizio di directory che supporti LDAP, come Active Directory, OpenLDAP e altri.
Una soluzione LDAP esterna consente agli amministratori di sistema di gestire le credenziali utente da un servizio di gestione delle directory centralizzato, esterno ai sistemi come Apigee Edge che le utilizzano. La funzionalità descritta in questo documento supporta l'autenticazione dell'associazione diretta e indiretta.
Per istruzioni dettagliate sulla configurazione di un servizio directory esterno, consulta la pagina Configurare l'autenticazione esterna.
Pubblico
Questo documento presuppone che tu sia un amministratore di sistema globale Apigee Edge for Private Cloud e che tu abbia un account per il servizio di directory esterno.
Panoramica
Per impostazione predefinita, Apigee Edge utilizza un'istanza OpenLDAP interna per archiviare le credenziali utilizzate per l'autenticazione dell'utente. Tuttavia, puoi configurare Edge in modo che utilizzi un servizio LDAP di autenticazione esterna anziché quello interno. La procedura per questa configurazione esterna è spiegata in questo documento.
Edge archivia anche le credenziali di autorizzazione dell'accesso basate sui ruoli in un'istanza LDAP interna separata. Indipendentemente dal fatto che configuri o meno un servizio di autenticazione esterno, le credenziali di autorizzazione vengono sempre archiviate in questa istanza LDAP interna. La procedura per l'aggiunta di utenti esistenti nel sistema LDAP esterno all'autorizzazione LDAP è spiegata in questo documento.
Tieni presente che l'autenticazione si riferisce alla convalida dell'identità di un utente, mentre l'autorizzazione si riferisce alla verifica del livello di autorizzazione dell'utente all'utilizzo delle funzionalità di Apigee Edge.
Cosa c'è da sapere sull'autenticazione e sull'autorizzazione di Edge
È utile comprendere la differenza tra autenticazione e autorizzazione e in che modo Apigee Edge gestisce queste due attività.
Informazioni sull'autenticazione
Gli utenti che accedono ad Apigee Edge tramite la UI o le API devono essere autenticati. Per impostazione predefinita, le credenziali utente Edge per l'autenticazione sono archiviate in un'istanza OpenLDAP interna. In genere, gli utenti devono registrarsi o ricevere una richiesta di registrazione per un account Apigee e al momento forniscono il proprio nome utente, indirizzo email, credenziali della password e altri metadati. Queste informazioni vengono memorizzate e gestite da LDAP di autenticazione.
Tuttavia, se vuoi utilizzare un LDAP esterno per gestire le credenziali utente per conto di Edge, puoi farlo configurando Edge in modo che utilizzi il sistema LDAP esterno anziché quello interno. Quando viene configurato un LDAP esterno, le credenziali utente vengono convalidate rispetto all'archivio esterno, come spiegato in questo documento.
Informazioni sull'autorizzazione
Gli amministratori dell'organizzazione perimetrale possono concedere agli utenti autorizzazioni specifiche per interagire con le entità Apigee Edge come proxy API, prodotti, cache, deployment e così via. Le autorizzazioni vengono concesse tramite l'assegnazione dei ruoli agli utenti. Edge include diversi ruoli integrati e, se necessario, gli amministratori dell'organizzazione possono definire ruoli personalizzati. Ad esempio, a un utente può essere concessa l'autorizzazione (tramite un ruolo) per creare e aggiornare i proxy API, ma non per eseguirne il deployment in un ambiente di produzione.
La credenziale di chiave utilizzata dal sistema di autorizzazione di Edge è l'indirizzo email dell'utente. Questa credenziale (insieme ad altri metadati) è sempre archiviata nell'autorizzazione LDAP interna di Edge. Questo LDAP è completamente separato dall'autenticazione LDAP (interna o esterna).
Anche gli utenti autenticati tramite un LDAP esterno devono essere sottoposti manualmente a provisioning nel sistema LDAP di autorizzazione. I dettagli sono spiegati in questo documento.
Per ulteriori informazioni sull'autorizzazione e su RBAC, vedi Gestione degli utenti dell'organizzazione e Assegnazione dei ruoli.
Per una visualizzazione più approfondita, consulta anche la pagina Informazioni sui flussi di autenticazione e autorizzazione di Edge.
Informazioni sull'autenticazione associazione diretta e indiretta
La funzionalità di autorizzazione esterna supporta l'autenticazione delle associazioni diretta e indiretta tramite il sistema LDAP esterno.
Riepilogo: l'autenticazione dell'associazione indiretta richiede che l'autenticazione LDAP cercare all'esterno l'indirizzo email, il nome utente o un altro ID fornito dall'utente al momento dell'accesso. Con l'autenticazione dell'associazione diretta non viene eseguita alcuna ricerca: le credenziali vengono inviate e convalidate direttamente dal servizio LDAP. L'autenticazione dell'associazione diretta è considerata più efficiente perché non prevede ricerche.
Informazioni sull'autenticazione delle associazioni indirette
Con l'autenticazione dell'associazione indiretta, l'utente inserisce una credenziale, come indirizzo email, nome utente o un altro attributo, e Edge cerca il sistema di autenticazione per questa credenziale/valore. Se il risultato di ricerca è riuscito, il sistema estrae il DN LDAP dai risultati di ricerca e lo utilizza con una password fornita per autenticare l'utente.
Il punto chiave da sapere è che l'autenticazione della rilegatura indiretta richiede il chiamante (ad es. Apigee Edge) per fornire credenziali di amministratore LDAP esterno in modo che Edge possa "accedere" a LDAP ed eseguire la ricerca. Devi fornire queste credenziali in un file di configurazione Edge, descritto più avanti in questo documento. Sono descritti anche i passaggi per criptare le credenziali della password.
Informazioni sull'autenticazione dell'associazione diretta
Con l'autenticazione associazione diretta, Edge invia le credenziali inserite da un utente direttamente al sistema di autenticazione esterno. In questo caso non viene eseguita alcuna ricerca sul sistema esterno. Le credenziali fornite hanno esito positivo o non riuscite (ad esempio, se l'utente non è presente nel LDAP esterno o se la password è errata, l'accesso non andrà a buon fine).
L'autenticazione dell'associazione diretta non richiede la configurazione delle credenziali di amministratore per il sistema di autenticazione esterna in Apigee Edge (come con l'autenticazione dell'associazione indiretta); tuttavia, è necessario eseguire un semplice passaggio di configurazione, descritto in Configurare l'autenticazione esterna.
Accedi alla community Apigee
La community Apigee è una risorsa senza costi in cui puoi contattare Apigee e altri clienti Apigee per domande, suggerimenti e altri problemi. Prima di pubblicare post nella community, cerca i post esistenti per vedere se la domanda ha già ricevuto risposta.