Edge para nuvem privada v4.19.01
Nesta seção, fornecemos uma visão geral de como os serviços de diretório externos se integram a uma instalação atual de nuvem privada do Apigee Edge. Esse recurso foi projetado para funcionar com qualquer serviço de diretório compatível com LDAP, como Active Directory, OpenLDAP e outros.
Uma solução LDAP externa permite que os administradores do sistema gerenciem credenciais de usuário a partir de um serviço de gerenciamento de diretório centralizado, externo a sistemas como o Apigee Edge. O recurso descrito neste documento é compatível com autenticação por vinculação direta e indireta.
Para instruções detalhadas sobre como configurar um serviço de diretório externo, consulte Como configurar a autenticação externa.
Público
Neste documento, presumimos que você é um administrador do sistema global do Apigee Edge para nuvem privada e que tem uma conta no serviço de diretório externo.
Visão geral
Por padrão, o Apigee Edge usa uma instância interna do OpenLDAP para armazenar credenciais usadas na autenticação de usuários. No entanto, é possível configurar o Edge para usar um serviço LDAP de autenticação externa em vez do interno. O procedimento para essa configuração externa é explicado neste documento.
O Edge também armazena credenciais de autorização de acesso baseado em papéis em uma instância LDAP interna separada. Independentemente de você configurar ou não um serviço de autenticação externo, as credenciais de autorização são sempre armazenadas nessa instância LDAP interna. O procedimento para adicionar usuários que existem no sistema LDAP externo ao LDAP de autorização do Edge é explicado neste documento.
Observe que autenticação se refere à validação da identidade de um usuário, enquanto a autorização se refere à verificação do nível de permissão que um usuário autenticado recebeu para usar os recursos do Apigee Edge.
O que você precisa saber sobre a autenticação e a autorização do Edge
É útil entender a diferença entre autenticação e autorização e como o Apigee Edge gerencia essas duas atividades.
Sobre a autenticação
Os usuários que acessam a Apigee Edge por meio da IU ou das APIs precisam ser autenticados. Por padrão, as credenciais de usuário do Edge para autenticação são armazenadas em uma instância interna do OpenLDAP. Normalmente, os usuários precisam se registrar ou receber uma solicitação para se registrar em uma conta da Apigee e, nesse momento, fornecer nome de usuário, endereço de e-mail, credenciais de senha e outros metadados. Essas informações são armazenadas e gerenciadas pelo LDAP de autenticação.
No entanto, se você quiser usar um LDAP externo para gerenciar as credenciais dos usuários em nome do Edge, basta configurá-lo para usar o sistema LDAP externo em vez do interno. Quando um LDAP externo é configurado, as credenciais do usuário são validadas nesse armazenamento externo, conforme explicado neste documento.
Sobre a autorização
Os administradores da organização de Edge podem conceder permissões específicas aos usuários para interagir com entidades do Apigee Edge, como proxies de API, produtos, caches, implantações, entre outros. As permissões são concedidas por meio da atribuição de papéis aos usuários. O Edge inclui vários papéis integrados e, se necessário, os administradores da organização podem definir papéis personalizados. Por exemplo, um usuário pode receber autorização (por meio de um papel) para criar e atualizar proxies de API, mas não para implantá-los em um ambiente de produção.
A credencial principal usada pelo sistema de autorização de borda é o endereço de e-mail do usuário. Essa credencial, juntamente com alguns outros metadados, é sempre armazenada no LDAP de autorização interna do Edge. Esse LDAP é totalmente separado do LDAP de autenticação (interno ou externo).
Os usuários autenticados por meio de um LDAP externo também precisam ser provisionados manualmente no sistema LDAP de autorização. Os detalhes são explicados neste documento.
Para mais informações sobre autorização e RBAC, consulte Como gerenciar usuários da organização e Como atribuir papéis.
Para uma visão mais aprofundada, consulte também Noções básicas sobre fluxos de autorização e autenticação do Edge.
Noções básicas sobre a autenticação de vinculação direta e indireta
O recurso de autorização externa é compatível com autenticação de vinculação direta e indireta por meio do sistema LDAP externo.
Resumo: a autenticação de vinculação indireta exige uma pesquisa no LDAP externo para encontrar credenciais que correspondam ao endereço de e-mail, nome de usuário ou outro código fornecido pelo usuário no login. Com a autenticação de vinculação direta, nenhuma pesquisa é realizada. As credenciais são enviadas e validadas pelo serviço LDAP diretamente. A autenticação de vinculação direta é considerada mais eficiente porque não envolve pesquisa.
Sobre a autenticação de vinculação indireta
Com a autenticação de vinculação indireta, o usuário insere uma credencial, como um endereço de e-mail, nome de usuário ou algum outro atributo, e o sistema de autenticação do Edge pesquisa essa credencial/valor. Se o resultado da pesquisa for bem-sucedido, o sistema extrairá o DN LDAP dos resultados da pesquisa e o usará com uma senha fornecida para autenticar o usuário.
É importante saber que a autenticação de vinculação indireta exige o autor da chamada (por exemplo, Apigee Edge) para fornecer credenciais de administrador LDAP externo para que o Edge possa "fazer login" no LDAP externo e realizar a pesquisa. É necessário fornecer essas credenciais em um arquivo de configuração do Edge, que será descrito posteriormente neste documento. As etapas também são descritas para criptografar a credencial da senha.
Sobre a autenticação de vinculação direta
Com a autenticação de vinculação direta, o Edge envia as credenciais inseridas por um usuário diretamente ao sistema de autenticação externo. Nesse caso, nenhuma pesquisa é realizada no sistema externo. As credenciais fornecidas são bem-sucedidas ou falham. Por exemplo, se o usuário não estiver presente no LDAP externo ou se a senha estiver incorreta, o login falhará.
A autenticação de vinculação direta não exige a configuração de credenciais de administrador para o sistema de autenticação externo no Apigee Edge (como na autenticação de vinculação indireta). No entanto, é necessário realizar uma etapa de configuração simples, que é descrita em Como configurar a autenticação externa.
Acesse a comunidade Apigee
A Comunidade Apigee (em inglês) é um recurso sem custo financeiro onde você pode entrar em contato com a Apigee e outros clientes da Apigee com perguntas, dicas e outros problemas. Antes de postar na comunidade, primeiro pesquise as postagens existentes para ver se sua pergunta já foi respondida.