本部分介绍通过哪些机制将 LDAP 作为适用于私有云的 Apigee Edge 的 IDP。
简单绑定(直接绑定)
通过简单绑定,用户提供 RDN 属性。RDN 属性可以是用户名、电子邮件地址、通用名称或其他类型的用户 ID,具体取决于主标识符是什么。借助该 RDN 属性,Apigee SSO 会静态构建一个标识名 (DN)。简单绑定没有部分匹配。
下面显示了简单绑定操作的步骤:
- 用户输入 RDN 属性和密码。例如,他们可能会输入用户名“alice”。
- Apigee SSO 会构造 DN,例如:
dn=uid=alice,ou=users,dc=test,dc=com
- Apigee SSO 使用静态构造的 DN 和提供的密码来尝试绑定到 LDAP 服务器。
- 如果成功,Apigee SSO 会返回一个 OAuth 令牌,客户端可以将该令牌附加到其向 Edge 服务发出的请求中。
简单绑定可提供最安全的安装,因为配置不会向 Apigee SSO 公开任何 LDAP 凭据或其他数据。管理员可以在 Apigee SSO 中配置一种或多种尝试输入单个用户名的 DN 格式。
搜索和绑定(间接绑定)
通过搜索和绑定,用户提供 RDN 和密码。然后,Apigee SSO 会查找用户的 DN。搜索和绑定允许部分匹配。
搜索库是最上层的域。
下面显示了搜索和绑定操作的步骤:
- 用户输入 RDN(例如用户名或电子邮件地址)以及密码。
- Apigee SSO 使用 LDAP 过滤器和一组已知搜索凭据执行搜索。
- 如果只有一个匹配项,则 Apigee SSO 会检索用户的 DN。如果没有或多个匹配项,则 Apigee SSO 会拒绝用户。
- 然后,Apigee SSO 会尝试根据 LDAP 服务器绑定用户的 DN 和提供的密码。
- LDAP 服务器执行身份验证。
- 如果成功,Apigee SSO 会返回一个 OAuth 令牌,客户端可以将该令牌附加到其向 Edge 服务发出的请求中。
Apigee 建议您使用一组提供给 Apigee SSO 的只读管理员凭据,在用户所在的 LDAP 树中执行搜索。