このセクションでは、外部ディレクトリ サービスを既存の Apigee Edge for Private Cloud に統合する方法の概要を示します。この機能は、Active Directory や OpenLDAP などの LDAP をサポートするディレクトリ サービスと連携するように設計されています。
外部 LDAP ソリューションを使用すると、システム管理者は、ユーザー認証情報を使用するシステム(Apigee Edge など)の外部にある集中管理されたディレクトリ管理サービスでユーザー認証情報を管理できます。このドキュメントで説明する機能は、直接バインディング認証と間接バインディング認証の両方をサポートしています。
外部ディレクトリ サービスを構成する方法の詳細については、外部認証を構成するをご覧ください。
対象
このドキュメントでは、ユーザーが Apigee Edge for Private Cloud のグローバル システム管理者であり、外部ディレクトリ サービスのアカウントを持っていることを前提としています。
概要
デフォルトでは、Apigee Edge は内部の OpenLDAP インスタンスを使用して、ユーザーの認証に使用する認証情報を保存します。ただし、内部 LDAP サービスの代わりに外部認証 LDAP サービスを使用するように Edge を構成できます。この外部構成の手順は、このドキュメントに記載しています。
また、ロールベースのアクセス認可の認証情報も別の内部 LDAP インスタンスに格納されます。外部認証サービスを構成しても、この内部 LDAP インスタンスには、認可の認証情報が常に保存されます。外部 LDAP システムに存在するユーザーを Edge 認可 LDAP に追加する手順は、このドキュメントに記載しています。
認証はユーザーの ID を検証することを意味し、認可は、認証されたユーザーが Apigee Edge の機能を使用する権限を確認することを指します。
Edge の認証と認可について知っておくべきこと
認証と認可の違いや、Apigee Edge がこれら 2 つのアクティビティをどのように管理するかについて理解することは有益です。
認証について
UI や API を通じて Apigee Edge にアクセスするユーザーは、認証されている必要があります。デフォルトでは、認証用の Edge ユーザー認証情報は内部 OpenLDAP インスタンスに格納されます。通常、ユーザーは Apigee アカウントに登録する必要があり、または登録を求められ、その時点でユーザー名、メールアドレス、パスワード認証情報、その他のメタデータを提供します。この情報は認証 LDAP に格納され、管理されます。
ただし、外部 LDAP を使用して Edge の代わりにユーザー認証情報を管理する場合、内部 LDAP サーバーではなく外部 LDAP システムを使用するように Edge を構成することで、これが可能になります。外部 LDAP を構成すると、このドキュメントで説明するように、外部ストアに対してユーザー認証情報が検証されます。
認可について
Edge 組織管理者は、API プロキシ、プロダクト、キャッシュ、デプロイなどのような、Apigee Edge エンティティとやり取りする特定の権限をユーザーに付与できます。権限は、ユーザーにロールを割り当てることで付与されます。Edge には組み込みのロールが複数あり、必要に応じて、組織管理者がカスタムロールを定義できます。たとえば、あるユーザーは、API プロキシの作成と更新を行う権限を(ロールを介して)付与されるものの、本番環境へのデプロイはできないなどです。
Edge 認可システムが使用するキー認証情報は、ユーザーのメールアドレスです。この認証情報は(他のメタデータとともに)、常に Edge の内部認可 LDAP に格納されます。この LDAP は、(内部または外部)認証 LDAP とは完全に別のものです。
外部 LDAP によって認証されているユーザーについては、この認可 LDAP システムに手動でプロビジョニングする必要があります。詳細はこのドキュメントで説明します。
認可と RBAC の詳しい背景情報については、組織ユーザーの管理とロールの割り当てをご覧ください。
詳細については、Edge 認証と認可フローについてもご覧ください。
直接と間接のバインディング認証について
外部認可機能は、外部 LDAP システムによる直接バインディング認証と間接バインディング認証の両方をサポートします。
概要: 間接バインディング認証では、ログイン時にユーザーから提供されたメールアドレス、ユーザー名、または他の ID と一致する認証情報を外部 LDAP で検索する必要があります。直接バインディング認証では、検索は実施されません。つまり、認証情報は LDAP サービスに直接送信され、検証されます。直接バインディング認証には検索が含まれていないため、より効率的であると考えられます。
間接バインディング認証について
間接バインディング認証では、ユーザーはメールアドレス、ユーザー名、その他の属性などの認証情報を入力し、Edge は認証システムでこの認証情報 / 値を検索します。検索結果が正常に得られると、システムは検索結果から LDAP DN を抽出し、提供されたパスワードとともにこれを使用して、ユーザーを認証します。
知っておくべき重要なポイントは、間接バインディング認証では、Edge が外部 LDAP に「ログイン」して検索を実施できるように、呼び出し元(たとえば Apigee Edge)が外部 LDAP の管理者認証情報を提供する必要があることです。これらの認証情報は、このドキュメントで後述する Edge 構成ファイルで指定する必要があります。パスワード認証情報を暗号化する手順についても説明します。
直接バインディング認証について
直接バインディング認証では、Edge はユーザーが入力した認証情報を外部認証システムに直接送信します。この場合、外部システムに対する検索は実施されません。これは、提供された認証情報による認証が成功するか失敗するかは関係ありません(たとえば、ユーザーが外部 LDAP に存在しない場合やパスワードが間違っている場合、ログインは失敗します)。
直接バインディング認証では、外部認証システムの管理者認証情報を Apigee Edge で構成する必要はありません(間接バインディング認証と同様)。ただし、簡単な構成手順を行う必要があります。この手順については、外部認証を構成するをご覧ください。
Apigee コミュニティの利用
Apigee コミュニティは、Apigee に関する質問、ヒント、その他の問題について Apigee のスタッフや他の Apigee ユーザーに問い合わせたり、情報交換したりできる無料のリソースです。コミュニティに投稿する前に、既存の投稿を検索して同じ質問に対する回答がないかどうかご確認ください。