הגדרת LDAP

בקטע הזה מתוארים המנגנונים שבהם ניתן להשתמש ב-LDAP כ-IdP עם Apigee Edge לענן פרטי.

קישור פשוט (קישור ישיר)

באמצעות קישור פשוט, המשתמש מספק מאפיין RDN. מאפיין ה-RDN יכול להיות שם משתמש, כתובת אימייל, שם פרטי או מזהה משתמש מסוג אחר, בהתאם למזהה הראשי. מאפיין ה-RDN הזה מאפשר ל-Apigee SSO ליצור באופן סטטי שם ייחודי (DN). אין התאמות חלקיות עם קישור פשוט.

אלה השלבים לביצוע פעולת קישור פשוטה:

  1. המשתמש מזין מאפיין RDN וסיסמה. לדוגמה, הוא יכול להזין את שם המשתמש "alice".
  2. כניסה יחידה מסוג Apigee יוצרת את ה-DN. לדוגמה:
    dn=uid=alice,ou=users,dc=test,dc=com
  3. ב-Apigee SSO משתמשים ב-DN שנוצר באופן סטטי ובסיסמה שסופקה כדי לנסות לבצע איגוד לשרת ה-LDAP.
  4. אם הפעולה בוצעה ללא שגיאות, Apigee SSO מחזיר אסימון OAuth שהלקוח יכול לצרף לבקשות שלו לשירותי Edge.

הקישור הפשוט מספק את ההתקנה המאובטחת ביותר, מכיוון שלא נחשפים פרטי כניסה של LDAP או נתונים אחרים באמצעות ההגדרה ל-SSO של Apigee. מנהל המערכת יכול להגדיר תבנית DN אחת או יותר ב-Apigee SSO כדי לנסות להזין שם משתמש יחיד.

חיפוש ואיגוד (קישור עקיף)

באמצעות חיפוש ואיגוד, המשתמש מספק RDN וסיסמה. לאחר מכן, Apigee SSO מוצא את ה-DN של המשתמש. החיפוש והקישור מאפשרים התאמות חלקיות.

בסיס החיפוש הוא הדומיין ברמה העליונה.

אלה השלבים בפעולת חיפוש וקישור:

  1. המשתמש מזין RDN, כמו שם משתמש או כתובת אימייל, יחד עם הסיסמה שלו.
  2. ב-Apigee SSO מתבצע חיפוש באמצעות מסנן LDAP וקבוצה של פרטי כניסה ידועים לחיפוש.
  3. אם קיימת התאמה אחת בדיוק, כניסה יחידה של Apigee תאחזר את ה-DN של המשתמש. אם יש אפס התאמות או יותר מהתאמה אחת, הכניסה היחידה של Apigee תידחה.
  4. לאחר מכן, Apigee SSO מנסה לקשור את ה-DN ואת הסיסמה של המשתמש אל שרת ה-LDAP.
  5. שרת ה-LDAP מבצע את האימות.
  6. אם הפעולה בוצעה ללא שגיאות, Apigee SSO מחזיר אסימון OAuth שהלקוח יכול לצרף לבקשות שלו לשירותי Edge.

ההמלצה של Apigee היא להשתמש בקבוצה של פרטי כניסה של אדמין לקריאה בלבד, שיהיו זמינים ל-Apigee SSO כדי לבצע חיפוש בעץ ה-LDAP שבו המשתמש נמצא.