本節概略說明外部目錄服務如何與現有的 Apigee Edge 私有雲安裝作業整合。這項功能適用於支援 LDAP 的任何目錄服務,例如 Active Directory、OpenLDAP 等。
外部 LDAP 解決方案可讓系統管理員透過集中式目錄管理服務來管理使用者憑證,比使用 Apigee Edge 等系統以外的系統管理使用者憑證。本文件所述的功能支援直接和間接繫結驗證。
如需設定外部目錄服務的詳細操作說明,請參閱「設定外部驗證」。
適用對象
本文假設您是私人雲端全球系統管理員的 Apigee Edge,且您有外部目錄服務的帳戶。
總覽
根據預設,Apigee Edge 會使用內部 OpenLDAP 執行個體儲存用於使用者驗證的憑證。不過,您可以將 Edge 設定為使用外部驗證 LDAP 服務,而非內部服務。本文件說明這項外部設定的程序。
此外,邊緣也會將角色型存取權授權憑證儲存在獨立的內部 LDAP 執行個體中。無論您是否設定外部驗證服務,授權憑證一律儲存在此內部 LDAP 執行個體中。本文件將說明在外部 LDAP 系統中加入使用者,並新增至 Edge 授權 LDAP 的程序。
請注意,「驗證」是指驗證使用者的身分,而「授權」則是指驗證使用者的授權使用 Apigee Edge 功能的權限層級。
Edge 驗證和授權須知
瞭解驗證和授權之間的差異,以及 Apigee Edge 如何管理這兩個活動之間的差異。
關於驗證
如果您是透過使用者介面或 API 存取 Apigee Edge 的使用者,必須先通過驗證。根據預設,驗證用的 Edge 使用者憑證會儲存在內部 OpenLDAP 執行個體中。一般而言,使用者必須先註冊或要求註冊 Apigee 帳戶,屆時並提供使用者名稱、電子郵件地址、密碼憑證和其他中繼資料。這項資訊會儲存在驗證 LDAP 中並進行管理。
不過,如想使用外部 LDAP 代表 Edge 管理使用者憑證,只要將 Edge 設為使用外部 LDAP 系統 (而非內部系統) 即可。設定外部 LDAP 後,系統會針對外部儲存空間驗證使用者憑證,如本文件所述。
關於授權
邊緣機構管理員可以授予使用者特定權限,以便與 Apigee Edge 實體 (例如 API Proxy、產品、快取、部署作業等) 互動。使用者的角色會指派給使用者。Edge 包括數個內建角色。如有需要,機構管理員可定義自訂角色。舉例來說,您可以授予使用者特定角色的權限,讓他們建立及更新 API Proxy,但無法部署至實際工作環境。
邊緣授權系統使用的金鑰憑證是使用者的電子郵件地址。這個憑證 (以及其他中繼資料) 一律會儲存在 Edge 的內部授權 LDAP 中。這個 LDAP 與驗證 LDAP 完全不同 (不論內部或外部)。
透過外部 LDAP 進行驗證的使用者也必須手動佈建授權的 LDAP 系統。詳細說明。
如要進一步瞭解授權和 RBAC,請參閱「管理機構使用者」和「指派角色」。
如要進一步瞭解,請參閱「瞭解邊緣驗證和授權流程」。
瞭解直接和間接繫結驗證
外部授權功能支援透過外部 LDAP 系統進行直接和間接繫結驗證。
摘要:進行外部繫結驗證時,需要在外部 LDAP 中搜尋憑證,而該憑證必須與使用者登入時提供的電子郵件地址、使用者名稱或其他 ID 相符。有了直接繫結驗證功能,系統不會執行任何搜尋作業,憑證會直接傳送給 LDAP 服務並進行驗證。由於沒有直接搜尋,因此直接繫結驗證會更有效率。
關於間接繫結驗證
使用間接繫結驗證時,使用者會輸入憑證,例如電子郵件地址、使用者名稱或其他屬性,而 Edge 則會搜尋這個憑證/值的驗證系統。如果搜尋結果成功,系統會從搜尋結果擷取 LDAP DN,並使用提供的密碼來驗證使用者。
需注意的重點是,間接繫結驗證需要呼叫端 (例如Apigee Edge) 提供外部 LDAP 管理員憑證,以便 Edge 「登入」外部 LDAP 並執行搜尋。您必須在 Edge 設定檔中提供這些憑證,詳情請參閱本文後續章節。其中也會說明加密密碼憑證的步驟。
關於直接繫結驗證
使用直接繫結驗證時,Edge 會將使用者輸入的憑證直接傳送至外部驗證系統。在這種情況下,系統不會在外部系統執行任何搜尋作業。您提供的憑證可能成功或失敗 (例如使用者不在外部 LDAP 中;如果密碼不正確,則登入失敗)。
直接繫結驗證功能不需要在 Apigee Edge 中設定外部驗證系統的管理員憑證 (與間接繫結驗證);不過,您需要執行一個簡單的設定步驟,詳情請參閱設定外部驗證。
存取 Apigee 社群
Apigee 社群是免費的資源,您可以透過這個管道針對 Apigee 和其他 Apigee 客戶提出問題、提示和其他問題。在社群中張貼問題前,請務必先搜尋現有文章,查看是否已提供解答。