Configura tu IdP de LDAP

En esta sección, se describen los mecanismos con los que puedes usar LDAP como IdP con Apigee Edge para nube privada.

Vinculación simple (vinculación directa)

Con la vinculación simple, el usuario proporciona un atributo de RDN. El atributo RDN puede ser un nombre de usuario, una dirección de correo electrónico, un nombre común o algún otro tipo de ID de usuario, según cuál sea el identificador principal. Con ese atributo RDN, el SSO de Apigee construye de forma estática un nombre distinguido (DN). No hay coincidencias parciales con vinculación simple.

A continuación, se muestran los pasos para una operación de vinculación simple:

  1. El usuario ingresa un atributo de RDN y una contraseña. Por ejemplo, podrían ingresar el nombre de usuario “alice”.
  2. El SSO de Apigee construye el DN; por ejemplo: 
    dn=uid=alice,ou=users,dc=test,dc=com
  3. El SSO de Apigee usa el DN construido de forma estática y la contraseña proporcionada para intentar establecer una vinculación con el servidor LDAP.
  4. Si se ejecuta correctamente, el SSO de Apigee muestra un token de OAuth que el cliente puede adjuntar a sus solicitudes a los servicios de Edge.

La vinculación simple proporciona la instalación más segura porque no se exponen credenciales de LDAP ni otros datos mediante la configuración del SSO de Apigee. El administrador puede configurar uno o más patrones de DN en el SSO de Apigee para que se prueben con una sola entrada de nombre de usuario.

Búsqueda y vinculación (vinculación indirecta)

Con la función búsqueda y vinculación, el usuario proporciona un RDN y una contraseña. Luego, el SSO de Apigee encuentra el DN del usuario. La búsqueda y vinculación permiten coincidencias parciales.

La base de búsqueda es el dominio superior.

A continuación, se muestran los pasos para una operación de búsqueda y vinculación:

  1. El usuario ingresa un RDN, como un nombre de usuario o una dirección de correo electrónico, y su contraseña.
  2. El SSO de Apigee realiza una búsqueda con un filtro LDAP y un conjunto de credenciales de búsqueda conocidas.
  3. Si hay exactamente una coincidencia, el SSO de Apigee recupera el DN del usuario. Si hay cero o más de una coincidencia, el SSO de Apigee rechaza al usuario.
  4. Luego, el SSO de Apigee intenta vincular el DN del usuario y la contraseña proporcionada con el servidor LDAP.
  5. El servidor LDAP realiza la autenticación.
  6. Si se ejecuta correctamente, el SSO de Apigee muestra un token de OAuth que el cliente puede adjuntar a sus solicitudes a los servicios de Edge.

Apigee recomienda que uses un conjunto de credenciales de administrador de solo lectura que pongas a disposición del SSO de Apigee para realizar una búsqueda en el árbol LDAP donde reside el usuario.