LDAP IDP を構成する

このセクションでは、Apigee Edge for Private Cloud で LDAP を IDP として使用するメカニズムについて説明します。

シンプル バインディング(直接バインディング)

シンプル バインディングでは、ユーザーが RDN 属性を指定します。RDN 属性は、プライマリ ID に応じて、ユーザー名、メールアドレス、コモンネーム、その他のユーザー ID になります。RDN 属性を使用すると、Apigee SSO が識別名(DN)を静的に作成します。シンプル バインディングを使った部分一致はありません。

以下に、単純なバインディング オペレーションの手順を示します。

  1. ユーザーが RDN 属性とパスワードを入力します。たとえば、ユーザー名「alice」を入力します。
  2. Apigee SSO によって DN が作成されます(例:
    dn=uid=alice,ou=users,dc=test,dc=com
    )。
  3. Apigee SSO は、静的に構築された DN と指定されたパスワードを使用して、LDAP サーバーへのバインドを試みます。
  4. 成功すると、Apigee SSO から OAuth トークンが返され、クライアントはこれを Edge サービスに対するリクエストに添付できます。

シンプルなバインディングでは、LDAP SSO やその他のデータが Apigee SSO の構成によって公開されないため、最も安全なインストール環境が実現します。管理者は、Apigee SSO で 1 つのユーザー名の入力に対して試行する 1 つ以上の DN パターンを構成できます。

検索とバインド(間接バインディング)

検索とバインドでは、ユーザーが RDN とパスワードを指定します。次に、Apigee SSO がユーザーの DN を検索します。検索とバインドでは、部分一致を使用できます。

検索ベースはトップレベル ドメインです。

検索とバインドの手順は次のとおりです。

  1. ユーザーは、RDN(ユーザー名やメールアドレスなど)とパスワードを入力します。
  2. Apigee SSO は、LDAP フィルタと一連の既知の検索認証情報を使用して検索を行います。
  3. 一致が 1 つしかない場合、Apigee SSO はユーザーの DN を取得します。一致するものが 1 つもない場合、Apigee SSO はユーザーを拒否します。
  4. 次に、Apigee SSO はユーザーの DN と指定されたパスワードを LDAP サーバーにバインドします。
  5. LDAP サーバーが認証を行います。
  6. 成功すると、Apigee SSO から OAuth トークンが返され、クライアントはこれを Edge サービスに対するリクエストに添付できます。

Apigee では、Apigee SSO に使用可能な読み取り専用の管理者認証情報を使用して、ユーザーがいる LDAP ツリーで検索することをおすすめします。