LDAP IDP を構成する

このセクションでは、Apigee Edge for Private Cloud で LDAP を IDP として使用するメカニズムについて説明します。

シンプルなバインディング(直接バインディング)

単純なバインディングでは、ユーザーが RDN 属性を指定します。RDN 属性は、メインの識別子に応じて、ユーザー名、メールアドレス、共通名、その他のタイプのユーザー ID になります。Apigee SSO は、その RDN 属性を使用して、識別名(DN)を静的に構築します。単純なバインディングでは部分一致はありません。

単純なバインディング オペレーションの手順を以下に示します。

  1. ユーザーが RDN 属性とパスワードを入力します。たとえば、ユーザー名「alice」を入力します。
  2. Apigee SSO によって DN が構築されます。たとえば、
    dn=uid=alice,ou=users,dc=test,dc=com
  3. Apigee SSO は、静的に構築された DN と提供されたパスワードを使用して、LDAP サーバーへのバインドを試行します。
  4. 成功すると、Apigee SSO から OAuth トークンが返されます。クライアントはこのトークンを、Edge サービスに対するリクエストに追加できます。

LDAP 認証情報やその他のデータが構成を介して Apigee SSO に公開されないため、シンプルなバインディングが最も安全です。管理者は、1 つのユーザー名入力に対して試行されるように Apigee SSO の 1 つ以上の DN パターンを構成できます。

検索とバインド(間接バインディング)

検索とバインドを使用して、ユーザーが RDN とパスワードを指定します。Apigee SSO がユーザーの DN を検索します。検索とバインドでは部分一致が可能です。

検索ベースは最上位のドメインです。

検索とバインド操作の手順を以下に示します。

  1. ユーザーは、ユーザー名やメールアドレスなどの RDN とパスワードを入力します。
  2. Apigee SSO は、LDAP フィルタと一連の既知の検索認証情報を使用して検索を実行します。
  3. 一致するものが 1 つしかない場合、Apigee SSO はユーザーの DN を取得します。一致する結果が 0 件以上ない場合、Apigee SSO はユーザーを拒否します。
  4. Apigee SSO は、ユーザーの DN と提供されたパスワードを LDAP サーバーにバインドしようとします。
  5. LDAP サーバーが認証を行います。
  6. 成功すると、Apigee SSO から OAuth トークンが返されます。クライアントはこのトークンを、Edge サービスに対するリクエストに追加できます。

Apigee SSO で使用できる読み取り専用の管理者認証情報を使用して、ユーザーが存在する LDAP ツリーを検索することをおすすめします。