LDAP-IdP konfigurieren

In diesem Abschnitt werden die Mechanismen beschrieben, mit denen Sie LDAP als IdP mit Apigee Edge für Private Cloud verwenden können.

Einfache Bindung (direkt binden)

Bei einer einfachen Bindung gibt der Nutzer ein RDN-Attribut an. Das RDN-Attribut kann ein Nutzername, E-Mail-Adresse, Klarname oder eine andere Art von Nutzer-ID, je nachdem, was die primäre ID ist. Mit diesem RDN-Attribut erstellt Apigee SSO statisch einen Distinguished Name (DN). Bei der einfachen Bindung gibt es keine teilweisen Übereinstimmungen.

Im Folgenden werden die Schritte eines einfachen Bindungsvorgangs gezeigt:

  1. Der Nutzer gibt ein RDN-Attribut und ein Passwort ein. Sie können beispielsweise den Nutzernamen eingeben, „Alice“.
  2. Der DN wird von Apigee SSO erstellt. Beispiel: 
    dn=uid=alice,ou=users,dc=test,dc=com
  3. Apigee SSO verwendet den statisch erstellten DN und das angegebene Passwort, um eine Bindung an den LDAP-Server.
  4. Bei Erfolg gibt die Apigee-SSO ein OAuth-Token zurück, das der Client an seine Anfragen anhängen kann. zu den Edge-Diensten.

Die einfache Bindung bietet die sicherste Installation, da keine LDAP-Anmeldedaten oder anderen Daten bei der Konfiguration für die Apigee-SSO verfügbar gemacht werden. Der Administrator kann ein oder mehrere DN-Muster in der Apigee-SSO konfigurieren, die für eine einzelne Eingabe eines Nutzernamens ausprobiert werden sollen.

Suchen und binden (indirekte Bindung)

Mit search and bind gibt der Nutzer eine RDN und ein Passwort ein. Anschließend findet die Apigee-SSO DN des Nutzers. Suchen und binden ermöglichen teilweise Übereinstimmungen.

Die Suchbasis ist die Domain mit der höchsten Priorität.

Im Folgenden werden die Schritte eines Such- und Bindungsvorgangs dargestellt:

  1. Der Nutzer gibt eine RDN, z. B. einen Nutzernamen oder eine E-Mail-Adresse, und sein Passwort ein.
  2. Apigee SSO führt eine Suche mit einem LDAP-Filter und einer Reihe bekannter Suchanmeldedaten durch.
  3. Wenn es genau eine Übereinstimmung gibt, ruft Apigee SSO den DN des Nutzers ab. Wenn es keine oder mehr gibt, als eine Übereinstimmung vorliegt, lehnt die Apigee-SSO den Nutzer ab.
  4. Anschließend versucht Apigee SSO, den DN und das angegebene Passwort des Nutzers an das LDAP zu binden. Server.
  5. Der LDAP-Server führt die Authentifizierung durch.
  6. Bei Erfolg gibt die Apigee-SSO ein OAuth-Token zurück, das der Client an seine Anfragen anhängen kann. zu den Edge-Diensten.

Apigee empfiehlt, dass Sie schreibgeschützte Administratoranmeldedaten verwenden, die Sie Apigee SSO, um eine Suche im LDAP-Baum durchzuführen, in dem sich der Nutzer befindet.