Cette section explique comment les services d'annuaire externe s'intègrent à l'installation d'Apigee Edge pour le cloud privé. Cette fonctionnalité est conçue pour fonctionner avec n'importe quel service d'annuaire compatible avec LDAP, comme Active Directory ou OpenLDAP.
Une solution LDAP externe permet aux administrateurs système de gérer les identifiants utilisateur à partir d'un service centralisé de gestion d'annuaire, qui est externe aux systèmes tels qu'Apigee Edge qui les utilisent. La fonctionnalité décrite dans ce document est compatible avec l'authentification de liaison directe et indirecte.
Pour obtenir des instructions détaillées sur la configuration d'un service d'annuaire externe, consultez la page Configurer l'authentification externe.
Audience
Dans ce document, nous partons du principe que vous êtes un administrateur système global Apigee Edge pour le cloud privé et que vous disposez d'un compte de service d'annuaire externe.
Présentation
Par défaut, Apigee Edge utilise une instance OpenLDAP interne pour stocker les identifiants utilisés pour l'authentification des utilisateurs. Toutefois, vous pouvez configurer Edge pour utiliser un service LDAP d'authentification externe au lieu du service interne. La procédure pour cette configuration externe est expliquée dans ce document.
Edge stocke également les identifiants d'autorisation d'accès basés sur les rôles, dans une instance LDAP interne distincte. Que vous configuriez ou non un service d'authentification externe, les identifiants d'autorisation sont toujours stockés dans cette instance LDAP interne. La procédure permettant d'ajouter des utilisateurs existants du système LDAP externe au LDAP d'autorisation Edge est expliquée dans ce document.
Notez que l'authentification consiste à valider l'identité d'un utilisateur, tandis que l'autorisation correspond au niveau d'autorisation accordé à un utilisateur authentifié pour utiliser les fonctionnalités d'Apigee Edge.
Ce que vous devez savoir sur l'authentification et l'autorisation Edge
Il est utile de comprendre la différence entre l'authentification et l'autorisation, et comment Apigee Edge gère ces deux activités.
À propos de l'authentification
Les utilisateurs qui accèdent à Apigee Edge via l'interface utilisateur ou les API doivent être authentifiés. Par défaut, les identifiants d'utilisateur Edge pour l'authentification sont stockés dans une instance OpenLDAP interne. En règle générale, les utilisateurs doivent créer un compte Apigee ou leur être invités à en créer un, et saisir leur nom d'utilisateur, leur adresse e-mail, leurs identifiants de mot de passe et d'autres métadonnées. Ces informations sont stockées et gérées par le service d'authentification LDAP.
Toutefois, si vous souhaitez utiliser un LDAP externe pour gérer les identifiants utilisateur pour le compte d'Edge, vous pouvez le faire en configurant Edge pour utiliser le système LDAP externe au lieu du système interne. Lorsqu'un LDAP externe est configuré, les identifiants utilisateur sont validés par rapport à ce magasin externe, comme expliqué dans ce document.
À propos de l'autorisation
Les administrateurs d'organisation Edge peuvent accorder des autorisations spécifiques aux utilisateurs pour interagir avec des entités Apigee Edge telles que des proxys d'API, des produits, des caches, des déploiements, etc. Les autorisations sont accordées via l'attribution de rôles aux utilisateurs. Edge comprend plusieurs rôles intégrés et, si nécessaire, les administrateurs de l'organisation peuvent définir des rôles personnalisés. Par exemple, un utilisateur peut être autorisé (via un rôle) à créer et à mettre à jour des proxys d'API, mais il ne peut pas les déployer dans un environnement de production.
Les identifiants principaux utilisés par le système d'autorisation Edge sont l'adresse e-mail de l'utilisateur. Ces identifiants (ainsi que d'autres métadonnées) sont toujours stockés dans le LDAP d'autorisation interne d'Edge. Ce protocole LDAP est entièrement distinct du service LDAP d'authentification (interne ou externe).
Les utilisateurs authentifiés via un protocole LDAP externe doivent également être provisionnés manuellement dans le système LDAP d'autorisation. Les détails sont expliqués dans ce document.
Pour en savoir plus sur les autorisations et sur RBAC, consultez les sections Gérer les utilisateurs de l'organisation et Attribuer des rôles.
Pour en savoir plus, consultez également Comprendre les flux d'authentification et d'autorisation Edge.
Comprendre l'authentification des liaisons directes et indirectes
La fonctionnalité d'autorisation externe est compatible avec l'authentification de liaison directe et indirecte via le système LDAP externe.
Résumé: l'authentification par liaison indirecte nécessite la recherche d'identifiants sur l'adresse IP externe, les identifiants correspondant à l'adresse e-mail, au nom d'utilisateur ou à tout autre ID fourni par l'utilisateur lors de la connexion. Avec l'authentification par liaison directe, aucune recherche n'est effectuée, les identifiants sont envoyés directement au service LDAP et validés par ce dernier. L'authentification par liaison directe est considérée comme plus efficace, car il n'y a aucune recherche à effectuer.
À propos de l'authentification des liaisons indirectes
Avec l'authentification de liaison indirecte, l'utilisateur saisit un identifiant tel qu'une adresse e-mail, un nom d'utilisateur ou un autre attribut, et Edge effectue une recherche dans le système d'authentification pour les trouver. Si la recherche aboutit, le système extrait le nom distinctif LDAP de cette recherche et l'utilise avec un mot de passe fourni pour authentifier l'utilisateur.
Notez que l'authentification par liaison indirecte nécessite l'appelant (par exemple, Apigee Edge) pour fournir des identifiants d'administrateur LDAP externe afin que Edge puisse se "connecter" au service LDAP externe et effectuer la recherche. Vous devez fournir ces identifiants dans un fichier de configuration Edge, comme décrit plus loin dans ce document. La procédure de chiffrement des identifiants de mot de passe est également décrite.
À propos de l'authentification par liaison directe
Avec l'authentification par liaison directe, Edge envoie les identifiants saisis par un utilisateur directement au système d'authentification externe. Dans ce cas, aucune recherche n'est effectuée sur le système externe. Soit les identifiants fournis aboutissent, soit ils échouent (par exemple, si l'utilisateur n'est pas présent dans le serveur LDAP externe ou si le mot de passe est incorrect, la connexion échoue).
L'authentification par liaison directe ne nécessite pas la configuration d'identifiants d'administrateur pour le système d'authentification externe dans Apigee Edge (comme avec l'authentification de liaison indirecte). Cependant, vous devez effectuer une étape de configuration simple, décrite dans Configurer l'authentification externe.
Accéder à la communauté Apigee
La communauté Apigee est une ressource sans frais grâce auquel vous pouvez contacter Apigee, ainsi que d'autres clients Apigee, pour leur poser des questions, demander des conseils et rechercher de l'aide sur d'autres problèmes. Avant de publier dans la communauté, veillez à rechercher d'abord les posts existants pour voir si une question a déjà été traitée.