En esta sección, se proporciona una descripción general de cómo se integran los servicios de directorio externos con una instalación existente de Apigee Edge para la nube privada. Esta función está diseñada para funcionar con cualquier servicio de directorio compatible con LDAP, como Active Directory, OpenLDAP y otros.
Una solución externa de LDAP permite que los administradores de sistemas gestionen las credenciales de los usuarios desde un servicio centralizado de administración de directorios externo a sistemas como Apigee Edge que las usan. La función que se describe en este documento admite la autenticación de vinculación directa e indirecta.
Para obtener instrucciones detalladas sobre cómo configurar un servicio de directorio externo, consulta Configura la autenticación externa.
Público
En este documento, se supone que eres un administrador de sistemas globales de Apigee Edge para la nube privada y que tienes una cuenta en el servicio de directorio externo.
Descripción general
De forma predeterminada, Apigee Edge usa una instancia de OpenLDAP interna para almacenar credenciales que se usan en la autenticación del usuario. Sin embargo, puedes configurar Edge para usar un servicio de LDAP de autenticación externa en lugar del interno. El procedimiento para esta configuración externa se explica en este documento.
Edge también almacena las credenciales de autorización de acceso basado en funciones en una instancia de LDAP interna y separada. Ya sea que configures un servicio de autenticación externo o no, las credenciales de autorización siempre se almacenan en esta instancia de LDAP interno. En este documento, se explica el procedimiento para agregar usuarios que existen en el sistema de LDAP externo al LDAP de autorización de Edge.
Ten en cuenta que la autenticación hace referencia a la validación de la identidad del usuario, mientras que la autorización alude a verificar el nivel de permiso que se otorga a un usuario autenticado para usar las funciones de Apigee Edge.
Qué debes saber sobre la autenticación y autorización de Edge
Es útil comprender la diferencia entre la autenticación y la autorización y cómo Apigee Edge administra estas dos actividades.
Acerca de la autenticación
Se deben autenticar los usuarios que acceden a Apigee Edge a través de la IU o las APIs. De forma predeterminada, las credenciales de usuario de Edge para la autenticación se almacenan en una instancia interna de OpenLDAP. Por lo general, los usuarios deben registrarse o se les debe solicitar una cuenta de Apigee. En ese momento, deben proporcionar su nombre de usuario, dirección de correo electrónico, credenciales de contraseña y otros metadatos. El LDAP de autenticación almacena y administra esta información.
Sin embargo, si deseas usar un LDAP externo para administrar las credenciales de usuario en nombre de Edge, puedes hacerlo si configuras Edge para que use el sistema LDAP externo en lugar del interno. Cuando se configura un LDAP externo, las credenciales del usuario se validan en ese almacén externo, como se explica en este documento.
Acerca de la autorización
Los administradores de la organización de Edge pueden otorgar permisos específicos a los usuarios para que interactúen con entidades de Apigee Edge, como proxies de API, productos, cachés, implementaciones, etcétera. Los permisos se otorgan mediante la asignación de funciones a los usuarios. Edge incluye varios roles integrados y, si es necesario, los administradores de la organización pueden definir roles personalizados. Por ejemplo, a un usuario se le puede otorgar autorización (a través de un rol) para crear y actualizar proxies de API, pero no para implementarlos en un entorno de producción.
La credencial clave que usa el sistema de autorización de Edge es la dirección de correo electrónico del usuario. Esta credencial (junto con otros metadatos) siempre se almacena en el LDAP de autorización interna de Edge. Este LDAP es completamente independiente del LDAP de autenticación (ya sea interno o externo).
Los usuarios autenticados mediante un LDAP externo también deben aprovisionarse manualmente en el sistema LDAP de autorización. Los detalles se explican en este documento.
Para obtener más información sobre la autorización y el RBAC, consulta Administra usuarios de la organización y Asigna funciones.
Para obtener una vista más detallada, consulta también Información sobre los flujos de autenticación y autorización de Edge.
Comprende la autenticación de vinculación directa e indirecta
La función de autorización externa admite la autenticación de vinculación directa e indirecta a través del sistema LDAP externo.
Resumen: La autenticación de vinculación indirecta requiere que se busque en el LDAP externo credenciales que coincidan con la dirección de correo electrónico, el nombre de usuario y otro ID proporcionado por el usuario durante el acceso. Con la autenticación de vinculación directa, no se realiza ninguna búsqueda; el servicio de LDAP envía y valida directamente las credenciales. La autenticación de vinculación directa se considera más eficiente porque no hay ninguna búsqueda involucrada.
Acerca de la autenticación de vinculación indirecta
Con la autenticación de vinculación indirecta, el usuario ingresa una credencial, como una dirección de correo electrónico, un nombre de usuario o algún otro atributo, y el sistema de autenticación de Edge busca esta credencial o valor. Si el resultado de la búsqueda es exitoso, el sistema extrae el DN de LDAP de los resultados y lo usa con una contraseña proporcionada para autenticar al usuario.
El punto clave que se debe saber es que la autenticación de vinculación indirecta requiere que el emisor (p.ej., Apigee Edge) a fin de proporcionar credenciales de administrador de LDAP externo para que Edge pueda “acceder” al LDAP externo y realizar la búsqueda. Debes proporcionar estas credenciales en un archivo de configuración de Edge, que se describe más adelante en este documento. También se describen los pasos para encriptar la credencial de contraseña.
Acerca de la autenticación de vinculación directa
Con la autenticación de vinculación directa, Edge envía las credenciales que ingresa un usuario directamente al sistema de autenticación externo. En este caso, no se realiza ninguna búsqueda en el sistema externo. Las credenciales proporcionadas tienen éxito o fallan (p.ej., si el usuario no está presente en el LDAP externo o si la contraseña es incorrecta, fallará el acceso).
La autenticación de vinculación directa no requiere que configures las credenciales de administrador para el sistema de autenticación externo en Apigee Edge (como con la autenticación de vinculación indirecta). Sin embargo, hay un paso de configuración simple que debes realizar, que se describe en Configura la autenticación externa.
Accede a la comunidad de Apigee
La comunidad de Apigee es un recurso gratuito en el que puedes comunicarte con Apigee y otros clientes de Apigee con preguntas, sugerencias y otros problemas. Antes de publicar contenido en la comunidad, asegúrate de buscar primero las publicaciones existentes para ver si ya se respondió tu pregunta.