בקטע הזה מתוארים המנגנונים שבהם אפשר להשתמש ב-LDAP כ-IdP באמצעות Apigee Edge לענן פרטי.
קישור פשוט (קישור ישיר)
באמצעות קישור פשוט, המשתמש מספק מאפיין RDN. המאפיין RDN יכול להיות שם משתמש, כתובת אימייל, שם פרטי או מזהה משתמש מסוג אחר, בהתאם למזהה נתון. באמצעות מאפיין ה-RDN הזה, Apigee SSO יוצרת באופן סטטי שם ייחודי (DN). אין התאמות חלקיות עם קישור פשוט.
למטה מוצגים השלבים בפעולת קישור פשוטה:
- המשתמש מזין מאפיין RDN וסיסמה. לדוגמה, הוא עשוי להזין את שם המשתמש אליס.
- SSO ב-Apigee בונה את ה-DN; לדוגמה:
dn=uid=alice,ou=users,dc=test,dc=com
- SSO ב-Apigee משתמש ב-DN עם מבנה סטטי ובסיסמה שסופקה כדי לנסות לקשר אל שרת LDAP.
- אם הפעולה בוצעה ללא שגיאות, Apigee SSO מחזיר אסימון OAuth שהלקוח יכול לצרף לבקשות שלו לשירותי Edge.
קישור פשוט מספק את ההתקנה המאובטחת ביותר כי פרטי כניסה של LDAP או נתונים אחרים לא נחשפים דרך ההגדרה ל-Apigee SSO. האדמין יכול להגדיר תבנית DN אחת או יותר ב-Apigee SSO כדי לנסות להזין שם משתמש אחד.
חיפוש וקישור (קישור עקיף)
באמצעות חיפוש וקישור, המשתמש מספק RDN וסיסמה. לאחר מכן, Apigee SSO מוצאת את ה-DN של המשתמש. חיפוש וקישור מאפשר התאמות חלקיות.
בסיס החיפוש הוא הדומיין ברמה העליונה ביותר.
למטה מוצגים השלבים בפעולת חיפוש וקישור:
- המשתמש מזין RDN, כמו שם משתמש או כתובת אימייל, וגם הסיסמה שלו.
- שירות SSO של Apigee מבצע חיפוש באמצעות מסנן LDAP וקבוצה של פרטי כניסה ידועים לחיפוש.
- אם יש התאמה אחת בדיוק, Apigee SSO מאחזרת את ה-DN של המשתמש. אם אין אפס או יותר כשיש התאמה אחת, Apigee SSO דוחה את המשתמש.
- לאחר מכן, SSO ב-Apigee ינסה לקשר את ה-DN והסיסמה של המשתמש ל-LDAP השרת.
- שרת ה-LDAP מבצע את האימות.
- אם הפעולה בוצעה ללא שגיאות, Apigee SSO מחזיר אסימון OAuth שהלקוח יכול לצרף לבקשות שלו לשירותי Edge.
ב-Apigee ממליצים להשתמש בפרטי כניסה של אדמין לקריאה בלבד שיהיו זמינים להם SSO ב-Apigee כדי לבצע חיפוש בעץ ה-LDAP שבו המשתמש נמצא.