このセクションでは、Apigee Edge for Private Cloud で LDAP を IDP として使用するメカニズムについて説明します。
シンプル バインディング(直接バインディング)
シンプル バインディングでは、ユーザーが RDN 属性を指定します。RDN 属性は、プライマリ ID に応じて、ユーザー名、メールアドレス、コモンネーム、その他のユーザー ID になります。RDN 属性を使用すると、Apigee SSO が識別名(DN)を静的に作成します。シンプル バインディングを使った部分一致はありません。
以下に、単純なバインディング オペレーションの手順を示します。
- ユーザーが RDN 属性とパスワードを入力します。たとえば、ユーザー名「alice」を入力します。
- Apigee SSO によって DN が作成されます(例:
dn=uid=alice,ou=users,dc=test,dc=com
)。 - Apigee SSO は、静的に構築された DN と指定されたパスワードを使用して、LDAP サーバーへのバインドを試みます。
- 成功すると、Apigee SSO から OAuth トークンが返され、クライアントはこれを Edge サービスに対するリクエストに添付できます。
シンプルなバインディングでは、LDAP SSO やその他のデータが Apigee SSO の構成によって公開されないため、最も安全なインストール環境が実現します。管理者は、Apigee SSO で 1 つのユーザー名の入力に対して試行する 1 つ以上の DN パターンを構成できます。
検索とバインド(間接バインディング)
検索とバインドでは、ユーザーが RDN とパスワードを指定します。次に、Apigee SSO がユーザーの DN を検索します。検索とバインドでは、部分一致を使用できます。
検索ベースはトップレベル ドメインです。
検索とバインドの手順は次のとおりです。
- ユーザーは、RDN(ユーザー名やメールアドレスなど)とパスワードを入力します。
- Apigee SSO は、LDAP フィルタと一連の既知の検索認証情報を使用して検索を行います。
- 一致が 1 つしかない場合、Apigee SSO はユーザーの DN を取得します。一致するものが 1 つもない場合、Apigee SSO はユーザーを拒否します。
- 次に、Apigee SSO はユーザーの DN と指定されたパスワードを LDAP サーバーにバインドします。
- LDAP サーバーが認証を行います。
- 成功すると、Apigee SSO から OAuth トークンが返され、クライアントはこれを Edge サービスに対するリクエストに添付できます。
Apigee では、Apigee SSO に使用可能な読み取り専用の管理者認証情報を使用して、ユーザーがいる LDAP ツリーで検索することをおすすめします。