En esta sección, se describen los mecanismos con los que puedes usar LDAP como IdP con Apigee Edge para la nube privada.
Vinculación simple (vinculación directa)
Con la vinculación simple, el usuario proporciona un atributo de RDN. El atributo RDN puede ser una nombre de usuario, dirección de correo electrónico, nombre de pila u otro tipo de ID de usuario, dependiendo de cuál sea identificador único. Con ese atributo de RDN, el SSO de Apigee crea de forma estática un nombre distinguido (DN). No hay coincidencias parciales con la vinculación simple.
A continuación, se muestran los pasos en una operación de vinculación simple:
- El usuario ingresa un atributo de RDN y una contraseña. Por ejemplo, pueden ingresar el nombre de usuario “alicia”.
- El SSO de Apigee construye el DN; por ejemplo:
dn=uid=alice,ou=users,dc=test,dc=com
- El SSO de Apigee usa el DN construido estáticamente y la contraseña proporcionada para intentar establecer una vinculación con el servidor LDAP.
- Si se aplica correctamente, el SSO de Apigee muestra un token de OAuth que el cliente puede adjuntar a sus solicitudes a los servicios perimetrales.
La vinculación simple proporciona la instalación más segura porque no se exponen credenciales de LDAP ni otros datos a través de la configuración del SSO de Apigee. El administrador puede configurar uno o más patrones de DN en el SSO de Apigee para que se prueben en una sola entrada de nombre de usuario.
Búsqueda y vinculación (vinculación indirecta)
Con search and bind, el usuario proporciona un RDN y una contraseña. Luego, el SSO de Apigee encuentra el DN del usuario. La búsqueda y la vinculación permiten coincidencias parciales.
La base de búsqueda es el dominio superior.
A continuación, se muestran los pasos en una operación de búsqueda y vinculación:
- El usuario ingresa un RDN, como un nombre de usuario o una dirección de correo electrónico, además de su contraseña.
- El SSO de Apigee realiza una búsqueda con un filtro LDAP y un conjunto de credenciales de búsqueda conocidas.
- Si hay exactamente una coincidencia, el SSO de Apigee recupera el DN del usuario. Si no hay ninguno o más una vez, el SSO de Apigee rechaza al usuario.
- Luego, el SSO de Apigee intenta vincular el DN y la contraseña proporcionada del usuario con el LDAP servidor.
- El servidor LDAP realiza la autenticación.
- Si se aplica correctamente, el SSO de Apigee muestra un token de OAuth que el cliente puede adjuntar a sus solicitudes a los servicios perimetrales.
Apigee recomienda que uses un conjunto de credenciales de administrador de solo lectura que pongas a disposición SSO de Apigee para realizar una búsqueda en el árbol de LDAP donde reside el usuario.