Configurare l'IdP LDAP

Questa sezione descrive i meccanismi con cui è possibile utilizzare LDAP come IdP con Apigee Edge per il cloud privato.

Associazione semplice (associazione diretta)

Con un'associazione semplice, l'utente fornisce un attributo RDN. L'attributo RDN può essere un nome utente, un indirizzo email, un nome comune o un altro tipo di ID utente, a seconda dell'identificatore principale. Con questo attributo RDN, Apigee SSO crea in modo statico un nome distinto (DN). Non esistono corrispondenze parziali con un'associazione semplice.

Di seguito sono riportati i passaggi di una semplice operazione di associazione:

  1. L'utente inserisce un attributo RDN e una password. Ad esempio, potrebbero inserire il nome utente "alice".
  2. Apigee SSO crea il DN, ad esempio: 
    dn=uid=alice,ou=users,dc=test,dc=com
  3. Apigee SSO utilizza il DN costruito in modo statico e la password fornita per tentare un'associazione al server LDAP.
  4. In caso di esito positivo, il servizio SSO di Apigee restituisce un token OAuth che il client può collegare alle proprie richieste ai servizi Edge.

L'associazione semplice offre l'installazione più sicura perché nessuna credenziale LDAP o altri dati vengono esposti tramite la configurazione all'accesso SSO di Apigee. L'amministratore può configurare uno o più pattern DN in Apigee SSO da provare per un singolo input del nome utente.

Cerca e associa (associazione indiretta)

Con search e binding, l'utente fornisce un RDN e una password. Apigee SSO trova quindi il DN dell'utente. La ricerca e l'associazione consentono corrispondenze parziali.

La base di ricerca è il dominio di primo livello.

Di seguito sono riportati i passaggi di un'operazione di ricerca e associazione:

  1. L'utente inserisce un RDN, ad esempio un nome utente o un indirizzo email, oltre alla password.
  2. Apigee SSO esegue una ricerca utilizzando un filtro LDAP e un set di credenziali di ricerca note.
  3. Se esiste una sola corrispondenza, Apigee SSO recupera il DN dell'utente. Se esistono zero o più corrispondenze, l'accesso SSO di Apigee rifiuta l'utente.
  4. Quindi, Apigee SSO tenta di associare il DN dell'utente e la password fornita al server LDAP.
  5. Il server LDAP esegue l'autenticazione.
  6. In caso di esito positivo, il servizio SSO di Apigee restituisce un token OAuth che il client può collegare alle proprie richieste ai servizi Edge.

Apigee consiglia di utilizzare un set di credenziali di amministratore di sola lettura disponibili per il servizio SSO di Apigee per eseguire una ricerca nell'albero LDAP in cui risiede l'utente.