このセクションでは、Apigee Edge for Private Cloud で IDP として LDAP を使用するためのメカニズムについて説明します。
単純バインディング(直接バインディング)
単純バインディングの場合、ユーザーは RDN 属性を提供します。RDN 属性には、何をメイン識別子にしているかに応じて、ユーザー名、メールアドレス、一般名、その他のタイプのユーザー ID を使用できます。Apigee SSO は、その RDN 属性を使用して識別名(DN)を静的に構築します。単純バインディングでは、部分一致はありません。
単純バインディング操作の手順は次のとおりです。
- ユーザーが RDN 属性とパスワードを入力します。たとえば、ユーザー名として「alice」と入力します。
- Apigee SSO が次のような DN を構築します。
dn=uid=alice,ou=users,dc=test,dc=com
- Apigee SSO は、この静的に構築された DN とユーザーから提供されたパスワードを使用して LDAP サーバーへのバインドを試みます。
- バインドが成功した場合、Apigee SSO から OAuth トークンが返されます。クライアントは、このトークンを Edge サービスへのリクエストに添付できます。
単純バインディングでは、LDAP 認証情報やその他のデータが構成を通じて Apigee SSO に開示されないため、非常に安全です。管理者は、単一のユーザー名入力に対して試行する Apigee SSO の DN パターンを 1 つ以上構成できます。
検索 / バインド(間接バインディング)
検索 / バインドを使用する場合、ユーザーは RDN とパスワードを提供します。Apigee SSO はそれらの情報に基づいてユーザーの DN を検索します。検索 / バインドでは、部分一致が許可されます。
検索のベースとなるのは最上位ドメインです。
検索 / バインドの操作の手順は次のとおりです。
- ユーザーが RDN(ユーザー名やメールアドレスなど)とパスワードを入力します。
- Apigee SSO は、LDAP フィルタと既知の検索認証情報を使用して検索を行います。
- 一致が 1 つだけ見つかった場合、Apigee SSO はそのユーザーの DN を取得します。一致が見つからないか、複数見つかった場合は、そのユーザーを拒否します。
- Apigee SSO は、ユーザーの DN とユーザーから提供されたパスワードを使用して LDAP サーバーへのバインドを試みます。
- LDAP サーバーが認証を行います。
- バインドが成功した場合、Apigee SSO から OAuth トークンが返されます。クライアントは、このトークンを Edge サービスへのリクエストに添付できます。
ユーザーが存在する LDAP ツリーに対して Apigee SSO が検索を行えるように、読み取り専用の管理者認証情報(ユーザー名とパスワード)を使用することをおすすめします。