Cette section explique comment les services d'annuaire externes s'intègrent à une installation existante d'Apigee Edge pour le cloud privé. Cette fonctionnalité est conçue pour fonctionner avec tous les services d'annuaire compatibles avec LDAP, comme Active Directory ou OpenLDAP.
Une solution LDAP externe permet aux administrateurs système de gérer les identifiants des utilisateurs depuis un service centralisé de gestion des annuaires, externe aux systèmes qui les utilisent, tels qu'Apigee Edge. La fonctionnalité décrite dans ce document est compatible avec l'authentification par liaison directe et indirecte.
Pour obtenir des instructions détaillées sur la configuration d'un service d'annuaire externe, consultez la page Configurer l'authentification externe.
Audience
Dans ce document, nous partons du principe que vous êtes un administrateur système global Apigee Edge pour Private Cloud et que vous possédez un compte pour le service d'annuaire externe.
Présentation
Par défaut, Apigee Edge utilise une instance OpenLDAP interne pour stocker les identifiants utilisés pour l'authentification des utilisateurs. Cependant, vous pouvez configurer Edge pour utiliser un service d'authentification LDAP externe au lieu du service interne. La procédure pour cette configuration externe est expliquée dans ce document.
Edge stocke également les identifiants d'autorisation d'accès basés sur les rôles dans une instance LDAP interne distincte. Que vous configuriez ou non un service d'authentification externe, les identifiants d'autorisation sont toujours stockés dans cette instance LDAP interne. La procédure permettant d'ajouter des utilisateurs existant dans le système LDAP externe au LDAP d'autorisation périphérique est expliquée dans ce document.
Notez que l'authentification fait référence à la validation de l'identité d'un utilisateur, tandis que l'autorisation fait référence à la vérification du niveau d'autorisation accordé à un utilisateur authentifié pour utiliser les fonctionnalités d'Apigee Edge.
Ce qu'il faut savoir sur l'authentification et l'autorisation de périphérie
Il est utile de comprendre la différence entre l'authentification et l'autorisation, et la manière dont Apigee Edge gère ces deux activités.
À propos de l'authentification
Les utilisateurs qui accèdent à Apigee Edge via l'interface utilisateur ou les API doivent être authentifiés. Par défaut, les identifiants de l'utilisateur Edge pour l'authentification sont stockés dans une instance OpenLDAP interne. En règle générale, les utilisateurs doivent s'inscrire à un compte Apigee ou être invités à le faire. Ils doivent alors fournir leur nom d'utilisateur, leur adresse e-mail, leurs identifiants de mot de passe et d'autres métadonnées. Ces informations sont stockées et gérées par le protocole d'authentification LDAP.
Cependant, si vous souhaitez utiliser un serveur LDAP externe pour gérer les informations d'identification de l'utilisateur pour le compte d'Edge, vous pouvez le faire en configurant Edge pour qu'il utilise le système LDAP externe plutôt que le système interne. Lorsqu'un LDAP externe est configuré, les identifiants utilisateur sont validés par rapport à ce magasin externe, comme expliqué dans ce document.
À propos de l'autorisation
Les administrateurs d'organisation Edge peuvent accorder des autorisations spécifiques aux utilisateurs pour qu'ils puissent interagir avec des entités Apigee Edge telles que des proxys d'API, des produits, des caches, des déploiements, etc. Ces autorisations sont accordées en attribuant des rôles aux utilisateurs. Edge inclut plusieurs rôles intégrés et, si nécessaire, les administrateurs de l'organisation peuvent définir des rôles personnalisés. Par exemple, un utilisateur peut obtenir (via un rôle) l'autorisation de créer et de mettre à jour des proxys d'API, mais pas de les déployer dans un environnement de production.
L'identifiant de clé utilisé par le système d'autorisation de périphérie est l'adresse e-mail de l'utilisateur. Cet identifiant (ainsi que d'autres métadonnées) est toujours stocké dans le LDAP d'autorisation interne d'Edge. Ce protocole LDAP est entièrement distinct du LDAP d'authentification (interne ou externe).
Les utilisateurs authentifiés via un LDAP externe doivent également être provisionnés manuellement dans le système LDAP d'autorisation. Vous trouverez plus d'informations dans ce document.
Pour plus d'informations sur l'autorisation et le contrôle des accès basé sur les rôles, consultez les pages Gérer les utilisateurs d'une organisation et Attribuer des rôles.
Pour approfondir le sujet, consultez également la page Comprendre les flux d'authentification et d'autorisation Edge.
Comprendre l'authentification par liaison directe et indirecte
La fonctionnalité d'autorisation externe est compatible avec l'authentification par liaison directe et indirecte via le système LDAP externe.
Résumé: L'authentification par liaison indirecte nécessite de rechercher sur le LDAP externe des identifiants correspondant à l'adresse e-mail, au nom d'utilisateur ou à un autre ID fournis par l'utilisateur au moment de la connexion. Avec l'authentification par liaison directe, aucune recherche n'est effectuée. Les identifiants sont envoyés au service LDAP et validés directement par celui-ci. L'authentification par liaison directe est considérée comme plus efficace, car aucune recherche n'est nécessaire.
À propos de l'authentification par liaison indirecte
Avec l'authentification par liaison indirecte, l'utilisateur saisit un identifiant, tel qu'une adresse e-mail, un nom d'utilisateur ou un autre attribut, puis Edge recherche ce nom ou cette valeur dans le système d'authentification. Si le résultat de la recherche aboutit, le système extrait le nom distinctif LDAP des résultats de recherche et l'utilise avec le mot de passe fourni pour authentifier l'utilisateur.
Ce qu'il faut savoir, c'est que l'authentification par liaison indirecte nécessite l'appelant (par exemple, Apigee Edge) pour fournir des informations d'identification d'administrateur LDAP externe afin qu'Edge puisse "se connecter" au LDAP externe et effectuer la recherche. Vous devez fournir ces identifiants dans un fichier de configuration Edge, décrit plus loin dans ce document. Les étapes sont également décrites pour chiffrer les identifiants du mot de passe.
À propos de l'authentification par liaison directe
Avec l'authentification par liaison directe, Edge envoie directement les identifiants saisis par un utilisateur au système d'authentification externe. Dans ce cas, aucune recherche n'est effectuée sur le système externe. Les identifiants fournis réussissent ou échouent (par exemple, si l'utilisateur n'est pas présent dans le LDAP externe ou si le mot de passe est incorrect, la connexion échoue).
L'authentification par liaison directe ne nécessite pas de configurer les identifiants d'administrateur pour le système d'authentification externe dans Apigee Edge (comme avec l'authentification par liaison indirecte). Cependant, vous devez effectuer une étape de configuration simple, décrite dans la section Configurer l'authentification externe.
Accéder à la communauté Apigee
La communauté Apigee est une ressource sans frais grâce auquel vous pouvez contacter Apigee, ainsi que d'autres clients Apigee, pour leur poser des questions, demander des conseils et rechercher de l'aide sur d'autres problèmes. Avant de publier dans la communauté, veillez à rechercher d'abord les posts existants pour voir si une question a déjà été traitée.