Flux d'authentification et d'autorisation en périphérie

Edge for Private Cloud v4.19.01

Ce document explique le fonctionnement de l'authentification et de l'autorisation sur Apigee Edge. Ces informations peuvent vous fournir un contexte utile lorsque vous configurez un LDAP externe avec Apigee Edge.

Les flux d'authentification et d'autorisation varient selon que l'utilisateur s'authentifie via l'interface utilisateur de gestion ou via les API.

Lorsque vous vous connectez via l'interface utilisateur

Lorsque vous vous connectez à Edge via l'interface utilisateur, Edge effectue une étape de connexion distincte au serveur de gestion Apigee à l'aide des identifiants de l'administrateur système global Edge.

Les étapes de connexion à l'interface utilisateur suivantes sont illustrées dans la figure 1:

  1. L'utilisateur saisit les identifiants de connexion dans l'interface utilisateur.
  2. Edge se connecte au serveur de gestion à l'aide des identifiants de l'administrateur système global.
  3. Les identifiants de l'administrateur système global sont authentifiés et autorisés. L'UI utilise ces identifiants pour envoyer certaines requêtes API de la plate-forme.
    1. Si l'authentification externe est activée, les identifiants sont authentifiés par rapport au LDAP externe. Sinon, le LDAP Edge interne est utilisé.
    2. L'autorisation est toujours effectuée sur le LDAP interne, sauf si vous activez le mappage des rôles externes.
  4. Les identifiants saisis par l'utilisateur sont authentifiés et autorisés.
    1. Si l'authentification externe est activée, les identifiants sont authentifiés par rapport au LDAP externe. Sinon, le LDAP Edge interne est utilisé.
    2. L'autorisation est toujours effectuée sur le LDAP interne, sauf si vous activez le mappage des rôles externes.

L'image suivante illustre l'autorisation et l'authentification via l'interface utilisateur Edge:

Figure 1: Autorisation et authentification via l'interface utilisateur Edge

Lorsque vous vous connectez via des API

Lorsque vous vous connectez à Edge via une API, seuls les identifiants saisis avec l'API sont utilisés. Contrairement à la connexion via l'interface utilisateur, une connexion distincte avec des identifiants d'administrateur système n'est pas nécessaire.

Les étapes de connexion à l'API suivantes sont illustrées dans la figure 2:

  1. L'utilisateur saisit les identifiants de connexion dans l'interface utilisateur.
  2. Les identifiants saisis par l'utilisateur sont authentifiés et autorisés.
  3. Si l'authentification externe est activée, les identifiants sont authentifiés par rapport au LDAP externe. Sinon, le LDAP Edge interne est utilisé.
  4. L'autorisation est toujours effectuée sur le LDAP interne, sauf si vous activez le mappage des rôles externes.

L'image suivante illustre l'autorisation et l'authentification via les API Edge:

Figure 2: Autorisation et authentification via les API Edge