Configurare l'IdP LDAP

Questa sezione descrive i meccanismi con cui è possibile utilizzare LDAP come IdP con Apigee Edge per il cloud privato.

Associazione semplice (associazione diretta)

Con l'associazione semplice, l'utente fornisce un attributo RDN. L'attributo RDN può essere un nome utente, indirizzo email, nome comune o un altro tipo di ID utente, a seconda dell'ID utente principale identificativo dell'utente. Con quell'attributo RDN, Apigee SSO genera in modo statico un nome distinto (DN). Non esistono corrispondenze parziali con l'associazione semplice.

Di seguito sono riportati i passaggi di una semplice operazione di associazione:

  1. L'utente inserisce un attributo RDN e una password. Ad esempio, potrebbero inserire il nome utente "alice".
  2. Il servizio SSO di Apigee genera il DN, Ad esempio: 
    dn=uid=alice,ou=users,dc=test,dc=com
  3. Apigee SSO utilizza il DN costruito in modo statico e la password fornita per tentare l'associazione al Server LDAP.
  4. In caso di esito positivo, il servizio SSO di Apigee restituisce un token OAuth che il client può collegare alle proprie richieste ai servizi Edge.

L'associazione semplice fornisce l'installazione più sicura perché le credenziali LDAP o altri dati non vengono esposti mediante la configurazione del servizio SSO di Apigee. L'amministratore può configurare uno o più pattern DN nel servizio SSO di Apigee da provare per l'inserimento di un singolo nome utente.

Ricerca e associazione (associazione indiretta)

Con search and bind, l'utente fornisce un RDN e una password. Il servizio SSO di Apigee trova quindi il DN dell'utente. La ricerca e l'associazione consentono corrispondenze parziali.

La base di ricerca è il dominio di livello più alto.

Di seguito sono riportati i passaggi di un'operazione di ricerca e associazione:

  1. L'utente inserisce un RDN, ad esempio un nome utente o un indirizzo email, più la propria password.
  2. Apigee SSO esegue una ricerca utilizzando un filtro LDAP e un set di credenziali di ricerca note.
  3. Se esiste una sola corrispondenza, il servizio SSO di Apigee recupera il DN dell'utente. Se ci sono zero o più più di una corrispondenza, Apigee SSO rifiuta l'utente.
  4. Apigee SSO tenta quindi di associare il DN dell'utente e la password fornita al LDAP o server web.
  5. Il server LDAP esegue l'autenticazione.
  6. In caso di esito positivo, il servizio SSO di Apigee restituisce un token OAuth che il client può collegare alle proprie richieste ai servizi Edge.

Apigee consiglia di utilizzare un set di credenziali amministrative di sola lettura che rendi disponibili Apigee SSO per eseguire una ricerca nell'albero LDAP in cui risiede l'utente.