本節說明您可以透過哪些機制將 LDAP 做為 IdP 與私有雲的 Apigee Edge 搭配使用。
簡易繫結 (直接繫結)
透過簡易繫結,使用者會提供 RDN 屬性。RDN 屬性可以是使用者名稱、電子郵件地址、一般名稱或其他類型的使用者 ID,視主要 ID 而定。運用該 RDN 屬性,Apigee SSO 會以靜態方式建構辨別名稱 (DN)。沒有部分符合簡單的繫結。
以下說明簡易繫結作業中的步驟:
- 使用者輸入 RDN 屬性和密碼。舉例來說,他們可能會輸入使用者名稱「alice」。
- Apigee SSO 會建構 DN,例如:
dn=uid=alice,ou=users,dc=test,dc=com
- Apigee 單一登入 (SSO) 會使用靜態建構的 DN 和提供的密碼,嘗試繫結至 LDAP 伺服器。
- 如果成功,Apigee SSO 會傳回 OAuth 權杖,可讓用戶端附加至其要求至 Edge 服務的要求。
簡易繫結可提供最安全的安裝作業,因為 Apigee 單一登入 (SSO) 服務不會公開 LDAP 憑證或其他資料。管理員可以在 Apigee SSO 中設定一或多個要嘗試輸入單一使用者名稱的 DN 模式。
搜尋與繫結 (間接繫結)
透過搜尋與繫結功能,使用者會提供 RDN 和密碼。接著 Apigee SSO 會找出使用者的 DN。使用「搜尋」和「繫結」即可找出部分相符的結果,
搜尋基礎是頂層網域最多的網域。
以下顯示搜尋與繫結作業的步驟:
- 使用者輸入 RDN,例如使用者名稱或電子郵件地址及其密碼。
- Apigee SSO 會使用 LDAP 篩選器和一組已知搜尋憑證執行搜尋。
- 如果完全相符,Apigee SSO 會擷取使用者的 DN。如有零或多個相符項目,Apigee SSO 會拒絕使用者。
- 接著,Apigee SSO 會嘗試將使用者的 DN 和提供的密碼繫結至 LDAP 伺服器。
- LDAP 伺服器會進行驗證。
- 如果成功,Apigee SSO 會傳回 OAuth 權杖,可讓用戶端附加至其要求至 Edge 服務的要求。
Apigee 建議您使用一組唯讀管理員憑證,以便提供給 Apigee 單一登入 (SSO) 服務,在使用者所在位置的 LDAP 樹狀結構中搜尋。