LDAP-IdP konfigurieren

In diesem Abschnitt werden die Mechanismen beschrieben, mit denen Sie LDAP als IdP mit Apigee Edge for Private Cloud verwenden können.

Einfache Bindung (direkte Bindung)

Bei der einfachen Bindung gibt der Nutzer ein RDN-Attribut an. Das RDN-Attribut kann ein Nutzername, eine E-Mail-Adresse, ein allgemeiner Name oder eine andere Art von Nutzer-ID sein, je nach der primären Kennung. Mit diesem RDN-Attribut erstellt die Apigee-SSO statisch einen Distinguished Name (DN). Es gibt keine teilweisen Übereinstimmungen mit einfacher Bindung.

Im Folgenden werden die Schritte in einem einfachen Bindungsvorgang dargestellt:

  1. Der Nutzer gibt ein RDN-Attribut und ein Passwort ein. Der Nutzer könnte beispielsweise den Nutzernamen „alice“ eingeben.
  2. Apigee SSO erstellt den DN. Beispiel: 
    dn=uid=alice,ou=users,dc=test,dc=com
  3. Apigee SSO verwendet den statisch erstellten DN und das angegebene Passwort, um eine Bindung an den LDAP-Server herzustellen.
  4. Bei Erfolg gibt die Apigee-SSO ein OAuth-Token zurück, das der Client an seine Anfragen an die Edge-Dienste anhängen kann.

Einfache Bindung bietet die sicherste Installation, da keine LDAP-Anmeldedaten oder anderen Daten über die Konfiguration für die Apigee-SSO freigegeben werden. Der Administrator kann ein oder mehrere DN-Muster in der Apigee-SSO so konfigurieren, dass sie bei der Eingabe eines einzelnen Nutzernamens ausprobiert werden.

Suchen und binden (indirekte Bindung)

Bei Suchen und Binden gibt der Nutzer eine RDN und ein Passwort ein. Apigee SSO findet dann den DN des Nutzers. „Suchen und binden“ ermöglicht Teilübereinstimmungen.

Die Suchbasis ist die oberste Domain.

Im Folgenden werden die Schritte in einem Such- und Bindungsvorgang dargestellt:

  1. Der Nutzer gibt einen RDN, z. B. einen Nutzernamen oder eine E-Mail-Adresse, sowie sein Passwort ein.
  2. Apigee SSO führt eine Suche mit einem LDAP-Filter und einer Reihe bekannter Suchanmeldedaten durch.
  3. Wenn es genau eine Übereinstimmung gibt, ruft die Apigee-SSO den DN des Nutzers ab. Wenn es keine oder mehrere Übereinstimmungen gibt, lehnt die Apigee SSO den Nutzer ab.
  4. Die Apigee SSO versucht dann, den DN und das angegebene Passwort des Nutzers an den LDAP-Server zu binden.
  5. Der LDAP-Server führt die Authentifizierung durch.
  6. Bei Erfolg gibt die Apigee-SSO ein OAuth-Token zurück, das der Client an seine Anfragen an die Edge-Dienste anhängen kann.

Apigee empfiehlt, dass Sie einen Satz schreibgeschützter Administratoranmeldedaten verwenden, die Sie der Apigee-SSO zur Verfügung stellen, um eine Suche in der LDAP-Baumstruktur durchzuführen, in der sich der Nutzer befindet.