Nesta seção, descrevemos os mecanismos para usar o LDAP como um IdP com o Apigee Edge para nuvem privada.
Vinculação simples (vinculação direta)
Com a vinculação simples, o usuário fornece um atributo RDN. O atributo RDN pode ser um nome de usuário, endereço de e-mail, nome real ou outro tipo de ID do usuário, dependendo do identificador principal. Com esse atributo de RDN, o SSO da Apigee cria estaticamente um nome distinto (DN). Com a vinculação simples, não há correspondências parciais.
Veja a seguir as etapas em uma operação de vinculação simples:
- O usuário insere uma senha e um atributo RDN. Por exemplo, eles podem inserir o nome de usuário "alice".
- O SSO da Apigee cria o DN. Por exemplo:
dn=uid=alice,ou=users,dc=test,dc=com
- O SSO da Apigee usa o DN construído estaticamente e a senha fornecida para tentar uma vinculação ao servidor LDAP.
- Se for bem-sucedido, o SSO da Apigee retornará um token OAuth que o cliente pode anexar às solicitações aos serviços de borda.
A vinculação simples oferece a instalação mais segura, porque nenhuma credencial LDAP ou outros dados são expostos pela configuração para o SSO da Apigee. O administrador pode configurar um ou mais padrões de DN no SSO da Apigee para serem testados para uma única entrada de nome de usuário.
Pesquisar e vincular (vinculação indireta)
Com a pesquisa e vinculação, o usuário fornece um RDN e uma senha. Em seguida, o SSO da Apigee encontra o DN do usuário. O recurso de pesquisa e vinculação permite correspondências parciais.
A base de pesquisa é o domínio de nível mais alto.
Confira a seguir as etapas em uma operação de pesquisa e vinculação:
- O usuário insere um RDN, como um nome de usuário ou endereço de e-mail, além da senha.
- O SSO da Apigee faz uma pesquisa usando um filtro LDAP e um conjunto de credenciais de pesquisa conhecidas.
- Se houver exatamente uma correspondência, o SSO da Apigee vai recuperar o DN do usuário. Se houver zero ou mais de uma correspondência, o SSO da Apigee rejeitará o usuário.
- Em seguida, o SSO da Apigee tenta vincular o DN e a senha do usuário ao servidor LDAP.
- O servidor LDAP realiza a autenticação.
- Se for bem-sucedido, o SSO da Apigee retornará um token OAuth que o cliente pode anexar às solicitações aos serviços de borda.
A Apigee recomenda usar um conjunto de credenciais de administrador somente leitura disponibilizado para o SSO da Apigee para realizar uma pesquisa na árvore LDAP em que o usuário reside.