Định cấu hình IDP LDAP

Phần này mô tả các cơ chế mà bạn có thể sử dụng LDAP làm nhà cung cấp danh tính (IDP) với Apigee Edge cho đám mây riêng tư.

Liên kết đơn giản (liên kết trực tiếp)

Với việc liên kết đơn giản, người dùng cung cấp một thuộc tính RDN. Thuộc tính RDN có thể là tên người dùng, địa chỉ email, tên thường gọi hoặc loại mã nhận dạng người dùng khác, tuỳ thuộc vào giá trị nhận dạng chính. Với thuộc tính RDN đó, Apigee SSO dựa trên tên riêng (DN) theo cách tĩnh. Không có kết quả phù hợp từng phần nào có liên kết đơn giản.

Dưới đây là các bước trong một thao tác liên kết đơn giản:

  1. Người dùng nhập một thuộc tính RDN và mật khẩu. Ví dụ: họ có thể nhập tên người dùng là "alice".
  2. Hoạt động đăng nhập một lần (SSO) của Apigee sẽ tạo nên DN; ví dụ: 
    dn=uid=alice,ou=users,dc=test,dc=com
  3. Apigee sử dụng DN xây dựng tĩnh và mật khẩu được cung cấp để cố gắng liên kết với máy chủ LDAP.
  4. Nếu thành công, tính năng SSO của Apigee sẽ trả về một mã thông báo OAuth mà ứng dụng có thể đính kèm vào các yêu cầu của họ đến các dịch vụ Edge.

Liên kết đơn giản mang đến quy trình cài đặt an toàn nhất vì không có thông tin xác thực LDAP hoặc dữ liệu nào khác bị lộ thông qua cấu hình với tính năng Đăng nhập một lần (SSO) của Apigee. Quản trị viên có thể định cấu hình ít nhất một mẫu DN trong Apigee để dùng thử dịch vụ cho một lần nhập tên người dùng.

Tìm kiếm và liên kết (liên kết gián tiếp)

Với tính năng tìm kiếm và liên kết, người dùng sẽ cung cấp RDN và mật khẩu. Sau đó, Apigee sẽ tìm thấy tên phân khúc (DN) của người dùng. Tính năng tìm kiếm và liên kết cho phép kết hợp một phần.

Cơ sở tìm kiếm là miền cao nhất.

Phần sau đây trình bày các bước trong thao tác tìm kiếm và ràng buộc:

  1. Người dùng nhập RDN, chẳng hạn như tên người dùng hoặc địa chỉ email, cùng với mật khẩu của họ.
  2. Chương trình SSO của Apigee thực hiện quá trình tìm kiếm bằng bộ lọc Giao thức truy cập thư mục hạng nhẹ (LDAP) và một nhóm thông tin xác thực tìm kiếm đã biết.
  3. Nếu có đúng một kết quả trùng khớp, quá trình đăng nhập một lần (SSO) của Apigee sẽ truy xuất tên phân biệt (DN) của người dùng. Nếu không có hoặc có nhiều kết quả trùng khớp, thì Apigee sẽ từ chối người dùng.
  4. Sau đó, Apigee sẽ cố gắng liên kết DN của người dùng và mật khẩu đã cung cấp với máy chủ LDAP.
  5. Máy chủ LDAP sẽ thực hiện xác thực.
  6. Nếu thành công, tính năng SSO của Apigee sẽ trả về một mã thông báo OAuth mà ứng dụng có thể đính kèm vào các yêu cầu của họ đến các dịch vụ Edge.

Bạn nên sử dụng nhóm thông tin xác thực quản trị viên chỉ có thể đọc mà bạn cung cấp cho API SSO để tìm kiếm trên cây LDAP nơi người dùng cư trú.