LDAP IDP を構成する

このセクションでは、Apigee Edge for Private Cloud で IDP として LDAP を使用するためのメカニズムについて説明します。

単純バインディング(直接バインディング)

単純バインディングの場合、ユーザーは RDN 属性を提供します。RDN 属性には、何をメイン識別子にしているかに応じて、ユーザー名、メールアドレス、一般名、その他のタイプのユーザー ID を使用できます。Apigee SSO は、その RDN 属性を使用して識別名(DN)を静的に構築します。単純バインディングでは、部分一致はありません。

単純バインディング操作の手順は次のとおりです。

  1. ユーザーが RDN 属性とパスワードを入力します。たとえば、ユーザー名として「alice」と入力します。
  2. Apigee SSO が次のような DN を構築します。
    dn=uid=alice,ou=users,dc=test,dc=com
  3. Apigee SSO は、この静的に構築された DN とユーザーから提供されたパスワードを使用して LDAP サーバーへのバインドを試みます。
  4. バインドが成功した場合、Apigee SSO から OAuth トークンが返されます。クライアントは、このトークンを Edge サービスへのリクエストに添付できます。

単純バインディングでは、LDAP 認証情報やその他のデータが構成を通じて Apigee SSO に開示されないため、非常に安全です。管理者は、単一のユーザー名入力に対して試行する Apigee SSO の DN パターンを 1 つ以上設定できます。

検索 / バインド(間接バインディング)

検索 / バインドを使用する場合、ユーザーは RDN とパスワードを提供します。Apigee SSO はそれらの情報に基づいてユーザーの DN を検索します。検索 / バインドでは、部分一致が許可されます。

検索のベースとなるのは最上位ドメインです。

検索 / バインドの操作の手順は次のとおりです。

  1. ユーザーが RDN(ユーザー名やメールアドレスなど)とパスワードを入力します。
  2. Apigee SSO は、LDAP フィルタと既知の検索認証情報を使用して検索を行います。
  3. 一致が 1 つだけ見つかった場合、Apigee SSO はそのユーザーの DN を取得します。一致が見つからないか、複数見つかった場合は、そのユーザーを拒否します。
  4. Apigee SSO は、ユーザーの DN とユーザーから提供されたパスワードを使用して LDAP サーバーへのバインドを試みます。
  5. LDAP サーバーが認証を行います。
  6. バインドが成功した場合、Apigee SSO から OAuth トークンが返されます。クライアントは、このトークンを Edge サービスへのリクエストに添付できます。

ユーザーが存在する LDAP ツリーに対して Apigee SSO が検索を行えるように、読み取り専用の管理者認証情報(ユーザー名とパスワード)を使用することをおすすめします。