이 섹션에서는 프라이빗 클라우드용 Apigee Edge에서 LDAP를 IDP로 사용할 수 있는 메커니즘을 설명합니다.
단순 결합 (직접 결합)
단순 결합에서는 사용자가 RDN 속성을 제공합니다. RDN 속성은 기본 식별자에 따라 사용자 이름, 이메일 주소, 일반 이름 또는 다른 유형의 사용자 ID가 될 수 있습니다. 이 RDN 속성을 사용하면 Apigee SSO가 고유 이름 (DN)을 정적으로 구성합니다. 단순 결합과는 부분 일치 항목이 없습니다.
다음은 간단한 결합 작업의 단계를 보여줍니다.
- 사용자가 RDN 속성과 비밀번호를 입력합니다. 예를 들어 사용자 이름 'alice'를 입력할 수 있습니다.
- Apigee SSO가 DN을 생성합니다. 예:
dn=uid=alice,ou=users,dc=test,dc=com
- Apigee SSO는 정적으로 구성된 DN과 제공된 비밀번호를 사용하여 LDAP 서버에 대한 바인딩을 시도합니다.
- 성공하면 Apigee SSO가 클라이언트가 Edge 서비스에 대한 요청에 연결할 수 있는 OAuth 토큰을 반환합니다.
간단한 결합을 사용하면 구성을 통해 Apigee SSO에 대한 LDAP 사용자 인증 정보나 기타 데이터가 노출되지 않으므로 가장 안전한 설치가 가능합니다. 관리자는 단일 사용자 이름 입력에 시도하도록 Apigee SSO에서 하나 이상의 DN 패턴을 구성할 수 있습니다.
검색 및 바인드 (간접 결합)
검색 및 바인딩을 사용하면 사용자가 RDN과 비밀번호를 제공합니다. 그러면 Apigee SSO가 사용자의 DN을 찾습니다. 검색 및 바인드는 부분 일치를 허용합니다.
검색 기반은 최상위 도메인입니다.
다음은 검색 및 바인드 작업의 단계를 보여줍니다.
- 사용자는 사용자 이름 또는 이메일 주소와 비밀번호 같은 RDN을 입력합니다.
- Apigee SSO는 LDAP 필터와 알려진 검색 사용자 인증 정보 집합을 사용하여 검색을 수행합니다.
- 일치하는 항목이 정확히 1개 있으면 Apigee SSO가 사용자의 DN을 검색합니다. 일치하는 항목이 0개 이상 있으면 Apigee SSO에서 사용자를 거부합니다.
- 그러면 Apigee SSO가 사용자의 DN과 제공된 비밀번호를 LDAP 서버에 바인딩하려고 시도합니다.
- LDAP 서버가 인증을 수행합니다.
- 성공하면 Apigee SSO가 클라이언트가 Edge 서비스에 대한 요청에 연결할 수 있는 OAuth 토큰을 반환합니다.
Apigee에서는 Apigee SSO에 사용할 수 있는 읽기 전용 관리자 사용자 인증 정보 집합을 사용하여 사용자가 있는 LDAP 트리에서 검색을 수행하는 것이 좋습니다.