Konfigurowanie dostawcy tożsamości LDAP

W tej sekcji opisujemy mechanizmy, za pomocą których można używać LDAP jako dostawcy tożsamości w Apigee Edge dla Private Cloud.

Proste wiązanie (bezpośrednie wiązanie)

W przypadku prostego powiązania użytkownik podaje atrybut RDN. Atrybut RDN może być nazwa użytkownika, adres e-mail, imię i nazwisko lub inny typ identyfikatora użytkownika, zależnie od tego, Dzięki temu atrybutowi RDN Apigee SSO tworzy statyczną nazwę wyróżniającą. Nie ma częściowych dopasowań z prostym powiązaniem.

Poniżej znajdziesz kroki prostej operacji powiązania:

  1. Użytkownik wpisuje atrybut RDN i hasło. Na przykład mogą wpisać nazwę użytkownika „alice”.
  2. Apigee SSO tworzy nazwę wyróżniającą. np.: 
    dn=uid=alice,ou=users,dc=test,dc=com
  3. Apigee SSO używa statycznie utworzonej nazwy wyróżniającej i podanego hasła, aby spróbować utworzyć powiązanie z Serwer LDAP.
  4. Jeśli logowanie jednokrotne powiedzie się, Apigee zwróci token OAuth, który klient może dołączyć do swoich żądań z usługami brzegowymi.

Proste powiązanie zapewnia najbezpieczniejszą instalację, ponieważ żadne dane logowania LDAP ani inne dane nie są udostępniane przez konfigurację na potrzeby logowania jednokrotnego Apigee. Administrator może skonfigurować co najmniej 1 wzorzec nazw wyróżniających w Apigee SSO, aby próbować podać jedną nazwę użytkownika.

Wyszukiwanie i powiązanie (wiązanie pośrednie)

Za pomocą funkcji search and bind użytkownik poda RDN i hasło. Apigee SSO znajduje nazwa wyróżniająca użytkownika. Wyszukiwanie i powiązanie umożliwia częściowe dopasowywanie.

Baza wyszukiwania to domena najwyższego poziomu.

Poniżej przedstawiono kroki operacji wyszukiwania i tworzenia powiązania:

  1. Użytkownik wpisuje RDN, np. nazwę użytkownika lub adres e-mail, oraz swoje hasło.
  2. Apigee SSO przeprowadza wyszukiwanie przy użyciu filtra LDAP i zestawu znanych danych logowania.
  3. Jeśli istnieje dokładnie 1 dopasowanie, Apigee SSO pobiera nazwę wyróżniającą użytkownika. Jeśli wartość wynosi 0 lub więcej niż 1, Apigee SSO odrzuci użytkownika.
  4. Apigee SSO spróbuje powiązać nazwę wyróżniającą użytkownika i podane hasło z serwerem LDAP serwera.
  5. Serwer LDAP przeprowadza uwierzytelnianie.
  6. Jeśli logowanie jednokrotne powiedzie się, Apigee zwróci token OAuth, który klient może dołączyć do swoich żądań z usługami brzegowymi.

Apigee zaleca użycie zestawu danych logowania administratora tylko do odczytu, który udostępnisz Apigee SSO, aby przeprowadzić wyszukiwanie w drzewie LDAP, w którym znajduje się użytkownik.