配置 LDAP IdP

本部分介绍了在适用于私有云的 Apigee Edge 中将 LDAP 用作 IDP 的机制。

简单绑定（直接绑定）

通过简单绑定，用户需提供 RDN 属性。RDN 属性可以是 用户名、电子邮件地址、真实姓名或其他类型的用户 ID，具体取决于 。借助该 RDN 属性，Apigee SSO 可静态构造标识名 (DN)。 使用简单绑定时，不会出现部分匹配。

下面展示了简单绑定操作中的步骤：

1. 用户输入 RDN 属性和密码。例如，他们可能会输入 “alice”。
2. Apigee SSO 构建 DN；例如：

   dn=uid=alice,ou=users,dc=test,dc=com

3. Apigee SSO 使用静态构建的 DN 和提供的密码来尝试绑定到 LDAP 服务器。
4. 如果成功，Apigee SSO 会返回一个 OAuth 令牌，客户端可以将该令牌附加到其请求中 边缘服务

简单绑定可提供最安全的安装方式，因为系统不会通过配置向 Apigee SSO 公开任何 LDAP 凭据或其他数据。管理员可以在 Apigee SSO 中配置一个或多个 DN 模式，以便尝试通过单个用户名输入。

搜索和绑定（间接绑定）

使用搜索和绑定，用户需提供 RDN 和密码。然后，Apigee SSO 会查找 用户的 DN。搜索和绑定允许部分匹配。

搜索库是最顶级的域名。

下面显示了搜索和绑定操作中的步骤：

1. 用户输入 RDN（例如用户名或电子邮件地址）及其密码。
2. Apigee SSO 使用 LDAP 过滤条件和一组已知的搜索凭据执行搜索。
3. 如果只有一个匹配项，Apigee SSO 将检索用户的 DN。如果其中包含零个或更多 多个匹配项，则 Apigee SSO 会拒绝该用户。
4. 然后，Apigee SSO 会尝试将用户的 DN 和提供的密码与 LDAP 绑定 服务器。
5. LDAP 服务器会执行身份验证。
6. 如果成功，Apigee SSO 会返回一个 OAuth 令牌，客户端可以将该令牌附加到其请求中 边缘服务

Apigee 建议您使用一组可供 Apigee SSO，在用户所在的 LDAP 树中执行搜索。