本節說明在 Private Cloud 適用的 Apigee Edge 中,您可以將 LDAP 當做 IDP 使用何種機制。
簡易繫結 (直接繫結)
透過簡易繫結,使用者會提供 RDN 屬性。RDN 屬性可以是 使用者名稱、電子郵件地址、一般名稱或其他類型的使用者 ID (視主要聯絡人的資料為何) 識別碼。有了該 RDN 屬性,Apigee 單一登入 (SSO) 服務就會以靜態方式建構辨別名稱 (DN)。 簡單的繫結不會有部分相符的結果。
以下顯示簡易繫結作業中的步驟:
- 使用者輸入 RDN 屬性和密碼。舉例來說,使用者可能會輸入 「alice」。
- Apigee 單一登入 (SSO) 會建構 DN;例如:
dn=uid=alice,ou=users,dc=test,dc=com
- Apigee 單一登入 (SSO) 會使用靜態建構的 DN 和提供的密碼,嘗試繫結至 LDAP 伺服器。
- 如果成功,Apigee 單一登入 (SSO) 會傳回用戶端可附加至其要求的 OAuth 權杖 邊緣服務
簡易繫結可提供最安全的安裝方式,因為這項服務的設定不會向 Apigee 單一登入 (SSO) 公開任何 LDAP 憑證或其他資料。管理員可以在 Apigee 單一登入 (SSO) 中設定一或多個 DN 模式,嘗試輸入單一使用者名稱。
搜尋和繫結 (間接繫結)
透過 search and bind 動作,使用者即可提供 RDN 和密碼。Apigee 單一登入 (SSO) 會在之後 而非使用者的 DN搜尋和繫結功能可執行部分相符的結果,
搜尋基礎是排名最高的網域。
以下顯示搜尋和繫結作業的步驟:
- 使用者輸入 RDN,例如使用者名稱或電子郵件地址,以及密碼。
- Apigee 單一登入 (SSO) 會使用 LDAP 篩選器和一組已知的搜尋憑證來執行搜尋。
- 如果完全相符,Apigee 單一登入 (SSO) 服務會擷取使用者的 DN。如果數量為 0 以上 超過一個相符項目,Apigee 單一登入 (SSO) 會拒絕使用者。
- Apigee 單一登入 (SSO) 隨後會嘗試將使用者 DN 和提供的密碼與 LDAP 繫結在一起 伺服器
- LDAP 伺服器會執行驗證。
- 如果成功,Apigee 單一登入 (SSO) 會傳回用戶端可附加至其要求的 OAuth 權杖 邊緣服務
Apigee 建議您使用一組唯讀管理員憑證, Apigee 單一登入 (SSO) 會針對使用者所在的 LDAP 樹狀結構執行搜尋。