Configurer votre IdP LDAP

Cette section décrit les mécanismes avec lesquels vous pouvez utiliser LDAP en tant qu'IdP avec Apigee Edge pour Cloud privé.

Liaison simple (liaison directe)

Avec une liaison simple, l'utilisateur fournit un attribut RDN. L'attribut RDN peut être un nom d'utilisateur, une adresse e-mail, un nom commun ou un autre type d'ID utilisateur, selon l'identifiant principal. Avec cet attribut RDN, Apigee SSO crée un nom distinctif (DN) de manière statique. Il n'existe pas de correspondance partielle avec la liaison simple.

Voici les étapes d'une opération de liaison simple:

  1. L'utilisateur saisit un attribut RDN et un mot de passe. Par exemple, il peut saisir le nom d'utilisateur "alice".
  2. Apigee SSO construit le nom distinctif, par exemple : 
    dn=uid=alice,ou=users,dc=test,dc=com
  3. L'authentification unique Apigee utilise le nom distinctif construit de manière statique et le mot de passe fourni pour tenter d'établir une liaison avec le serveur LDAP.
  4. En cas de succès, l'authentification unique Apigee renvoie un jeton OAuth que le client peut associer à ses requêtes adressées aux services Edge.

La liaison simple offre l'installation la plus sécurisée, car aucun identifiant LDAP ni aucune autre donnée n'est exposé via la configuration de l'authentification unique Apigee. L'administrateur peut configurer un ou plusieurs formats de nom distinctif dans l'authentification unique Apigee pour une saisie de nom d'utilisateur unique.

Rechercher et lier (liaison indirecte)

Avec la recherche et la liaison, l'utilisateur fournit un RDN et un mot de passe. Apigee SSO trouve alors le nom distinctif de l'utilisateur. La recherche et la liaison permettent des correspondances partielles.

La base de recherche est le domaine de premier niveau.

Voici les étapes d'une opération de recherche et de liaison:

  1. L'utilisateur saisit un RDN, tel qu'un nom d'utilisateur ou une adresse e-mail, ainsi que son mot de passe.
  2. L'authentification unique Apigee effectue une recherche à l'aide d'un filtre LDAP et d'un ensemble d'identifiants de recherche connus.
  3. S'il existe une seule correspondance, Apigee SSO récupère le nom distinctif de l'utilisateur. S'il existe zéro ou plusieurs correspondances, Apigee SSO rejette l'utilisateur.
  4. L'authentification unique Apigee tente ensuite de lier le nom distinctif et le mot de passe fourni de l'utilisateur au serveur LDAP.
  5. Le serveur LDAP effectue l'authentification.
  6. En cas de succès, l'authentification unique Apigee renvoie un jeton OAuth que le client peut associer à ses requêtes adressées aux services Edge.

Apigee vous recommande d'utiliser un ensemble d'identifiants d'administrateur en lecture seule que vous mettez à la disposition de l'authentification unique Apigee pour effectuer une recherche sur l'arborescence LDAP où réside l'utilisateur.