Edge の認証と認可のフロー

このドキュメントでは、Apigee Edge での認証と認可の仕組みについて説明します。ここで説明する情報は、Apigee Edge で外部 LDAP を構成するときに役立ちます。

認証と認可のフローは、ユーザーが管理 UI と API のどちらを使用して認証を行うかによって異なります。

UI からログインする場合

ユーザーが UI から Edge にログインする場合、Edge は Apigee Management Server に対し、Edge グローバル システム管理者認証情報を使用して別個のログイン ステップを行います。

図 1 に示されている UI ログイン ステップは次のとおりです。

  1. ユーザーがログイン UI でログイン認証情報を入力します。
  2. Edge がグローバル システム管理者認証情報を使用して Management Server にログインします。
  3. グローバル システム管理者認証情報が認証されて認可されます。UI ではこれらの認証情報を使用して特定のプラットフォーム API リクエストを行います。
    1. 外部認証が有効な場合は、認証情報が外部 LDAP に対して認証されます。そうでなければ、内部 Edge LDAP が使用されます。
    2. 外部ロール マッピングを有効にしない限り、内部 LDAP に対して常に認可が実行されます。
  4. ユーザーが入力した認証情報が認証されて認可されます。
    1. 外部認証が有効な場合は、認証情報が外部 LDAP に対して認証されます。そうでなければ、内部 Edge LDAP が使用されます。
    2. 外部ロール マッピングを有効にしない限り、内部 LDAP に対して常に認可が実行されます。

次の図に、Edge UI を使用した場合の認可と認証を示します。

図 1: Edge UI を使用した場合の認可と認証

API からログインする場合

ユーザーが API から Edge にログインする場合は、API で入力された認証情報だけが使用されます。UI ログインの場合とは異なり、システム管理者認証情報を使用した別個のログインは必要ありません。

図 2 に示されている UI ログイン ステップは次のとおりです。

  1. ユーザーがログイン UI でログイン認証情報を入力します。
  2. ユーザーが入力した認証情報が認証されて認可されます。
  3. 外部認証が有効な場合は、認証情報が外部 LDAP に対して認証されます。そうでなければ、内部 Edge LDAP が使用されます。
  4. 外部ロール マッピングを有効にしない限り、内部 LDAP に対して常に認可が実行されます。

次の図に、Edge API を使用した場合の認可と認証を示します。

図 2: Edge API を使用した場合の認可と認証