Konfigurowanie dostawcy tożsamości LDAP

W tej sekcji opisujemy mechanizmy, za pomocą których możesz używać LDAP jako dostawcy tożsamości w Apigee Edge dla Private Cloud.

Proste wiązanie (bezpośrednie wiązanie)

W przypadku prostego wiązania użytkownik przesyła atrybut RDN. Atrybutem RDN może być nazwa użytkownika, adres e-mail, nazwa pospolita lub inny typ identyfikatora użytkownika, zależnie od tego, jaki jest główny identyfikator. Dzięki temu atrybutowi RDN logowanie jednokrotne w Apigee statycznie tworzy nazwę wyróżniającą (DN). Nie ma dopasowań częściowych z prostym wiązaniem.

Poniżej pokazujemy, jak wykonać prostą operację wiązania:

  1. Użytkownik wpisuje atrybut RDN i hasło. Mogą na przykład wpisać nazwę użytkownika „alicja”.
  2. Logowanie jednokrotne Apigee tworzy nazwę wyróżniającą, na przykład: 
    dn=uid=alice,ou=users,dc=test,dc=com
  3. Funkcja logowania jednokrotnego w Apigee próbuje połączyć się z serwerem LDAP przy użyciu statycznej nazwy wyróżniającej i podanego hasła.
  4. Jeśli logowanie jednokrotne się uda, Apigee zwróci token OAuth, który klient może dołączyć do swoich żądań do usług Edge.

Proste wiązanie zapewnia najbezpieczniejszą instalację, ponieważ żadne dane logowania LDAP ani inne dane nie są udostępniane podczas konfiguracji logowania jednokrotnego w Apigee. Administrator może skonfigurować co najmniej 1 wzorzec nazwy wyróżniającej w usłudze logowania jednokrotnego w Apigee, który ma być wypróbowywany dla pojedynczej nazwy użytkownika.

Wyszukaj i powiąż (powiązanie pośrednie)

Za pomocą funkcji Wyszukaj i powiąż użytkownik podaje RDN i hasło. Następnie funkcja logowania jednokrotnego Apigee znajduje nazwę wyróżniającą użytkownika. Funkcja wyszukiwania i powiązania umożliwia znajdowanie częściowych dopasowań.

Baza wyszukiwania to domena najwyższego poziomu.

Poniżej przedstawiono kroki operacji wyszukiwania i powiązania:

  1. Użytkownik wpisuje RDN, np. nazwę użytkownika lub adres e-mail, oraz swoje hasło.
  2. Funkcja logowania jednokrotnego w Apigee przeprowadza wyszukiwanie przy użyciu filtra LDAP i zestawu znanych danych logowania.
  3. Jeśli występuje dokładnie 1 dopasowanie, funkcja logowania jednokrotnego Apigee pobiera nazwę wyróżniającą użytkownika. W przypadku 0 lub więcej dopasowań logowanie jednokrotne Apigee odrzuca użytkownika.
  4. Logowanie jednokrotne w Apigee spróbuje następnie powiązać nazwę wyróżniającą i podane hasło użytkownika z serwerem LDAP.
  5. Serwer LDAP przeprowadza uwierzytelnianie.
  6. Jeśli logowanie jednokrotne się uda, Apigee zwróci token OAuth, który klient może dołączyć do swoich żądań do usług Edge.

Apigee zaleca użycie zestawu danych logowania administratora tylko do odczytu, które udostępniasz usłudze logowania jednokrotnego Apigee do przeszukiwania drzewa LDAP, w którym znajduje się użytkownik.