Configurar seu IdP LDAP

Nesta seção, descrevemos os mecanismos para usar o LDAP como um IdP com o Apigee Edge para nuvem privada.

Vinculação simples (vinculação direta)

Com a vinculação simples, o usuário fornece um atributo RDN. O atributo RDN pode ser um nome de usuário, endereço de e-mail, nome real ou outro tipo de ID do usuário, dependendo do identificador principal. Com esse atributo de RDN, o SSO da Apigee cria estaticamente um nome distinto (DN). Com a vinculação simples, não há correspondências parciais.

Veja a seguir as etapas em uma operação de vinculação simples:

  1. O usuário insere uma senha e um atributo RDN. Por exemplo, eles podem inserir o nome de usuário "alice".
  2. O SSO da Apigee cria o DN. Por exemplo: 
    dn=uid=alice,ou=users,dc=test,dc=com
  3. O SSO da Apigee usa o DN construído estaticamente e a senha fornecida para tentar uma vinculação ao servidor LDAP.
  4. Se for bem-sucedido, o SSO da Apigee retornará um token OAuth que o cliente pode anexar às solicitações aos serviços de borda.

A vinculação simples oferece a instalação mais segura, porque nenhuma credencial LDAP ou outros dados são expostos pela configuração para o SSO da Apigee. O administrador pode configurar um ou mais padrões de DN no SSO da Apigee para serem testados para uma única entrada de nome de usuário.

Pesquisar e vincular (vinculação indireta)

Com a pesquisa e vinculação, o usuário fornece um RDN e uma senha. Em seguida, o SSO da Apigee encontra o DN do usuário. O recurso de pesquisa e vinculação permite correspondências parciais.

A base de pesquisa é o domínio de nível mais alto.

Confira a seguir as etapas em uma operação de pesquisa e vinculação:

  1. O usuário insere um RDN, como um nome de usuário ou endereço de e-mail, além da senha.
  2. O SSO da Apigee faz uma pesquisa usando um filtro LDAP e um conjunto de credenciais de pesquisa conhecidas.
  3. Se houver exatamente uma correspondência, o SSO da Apigee vai recuperar o DN do usuário. Se houver zero ou mais de uma correspondência, o SSO da Apigee rejeitará o usuário.
  4. Em seguida, o SSO da Apigee tenta vincular o DN e a senha do usuário ao servidor LDAP.
  5. O servidor LDAP realiza a autenticação.
  6. Se for bem-sucedido, o SSO da Apigee retornará um token OAuth que o cliente pode anexar às solicitações aos serviços de borda.

A Apigee recomenda usar um conjunto de credenciais de administrador somente leitura disponibilizado para o SSO da Apigee para realizar uma pesquisa na árvore LDAP em que o usuário reside.