Настройте своего LDAP IDP

В этом разделе описаны механизмы, с помощью которых вы можете использовать LDAP в качестве IDP с Apigee Edge для частного облака.

Простая привязка (прямая привязка)

При простой привязке пользователь предоставляет атрибут RDN. Атрибут RDN может быть именем пользователя, адресом электронной почты, общим именем или другим типом идентификатора пользователя, в зависимости от основного идентификатора. С помощью этого атрибута RDN Apigee SSO статически создает различающееся имя (DN). При простой привязке частичных совпадений нет.

Ниже показаны этапы простой операции привязки:

  1. Пользователь вводит атрибут RDN и пароль. Например, они могут ввести имя пользователя «Алиса».
  2. Apigee SSO создает DN; например:
    dn=uid=alice,ou=users,dc=test,dc=com
  3. Apigee SSO использует статически созданное DN и предоставленный пароль для попытки подключения к серверу LDAP.
  4. В случае успеха Apigee SSO возвращает токен OAuth, который клиент может прикрепить к своим запросам к службам Edge.

Простая привязка обеспечивает наиболее безопасную установку, поскольку учетные данные LDAP или другие данные не передаются при настройке Apigee SSO. Администратор может настроить один или несколько шаблонов DN в Apigee SSO, которые будут использоваться для ввода одного имени пользователя.

Поиск и привязка (косвенная привязка)

При использовании search иbind пользователь предоставляет RDN и пароль. Затем Apigee SSO находит DN пользователя. Поиск и привязка допускают частичные совпадения.

База поиска — это самый верхний домен.

Ниже показаны этапы операции поиска и привязки:

  1. Пользователь вводит RDN, например имя пользователя или адрес электронной почты, а также свой пароль.
  2. Apigee SSO выполняет поиск с использованием фильтра LDAP и набора известных учетных данных для поиска.
  3. Если совпадение ровно одно, Apigee SSO получает DN пользователя. Если совпадений ноль или более одного, Apigee SSO отклоняет пользователя.
  4. Затем Apigee SSO пытается связать DN пользователя и предоставленный пароль с сервером LDAP.
  5. Сервер LDAP выполняет аутентификацию.
  6. В случае успеха Apigee SSO возвращает токен OAuth, который клиент может прикрепить к своим запросам к службам Edge.

Apigee рекомендует использовать набор учетных данных администратора только для чтения, которые вы предоставляете Apigee SSO для выполнения поиска в дереве LDAP, где находится пользователь.