Cette section décrit les mécanismes qui vous permettent d'utiliser LDAP en tant qu'IdP avec Apigee Edge for Private Cloud.
Liaison simple (liaison directe)
Avec une liaison simple, l'utilisateur fournit un attribut RDN. L'attribut RDN peut être un nom d'utilisateur, adresse e-mail, nom commun ou autre type d'ID utilisateur, en fonction du type identifiant. Avec cet attribut RDN, Apigee SSO construit de manière statique un nom distinctif (DN). Il n'existe pas de correspondances partielles avec une liaison simple.
Voici les étapes d'une opération de liaison simple:
- L'utilisateur saisit un attribut RDN et un mot de passe. Par exemple, il peut saisir le nom d'utilisateur "alice".
- Apigee SSO construit le DN, Par exemple:
dn=uid=alice,ou=users,dc=test,dc=com
- Apigee SSO utilise le nom distinctif construit de manière statique et le mot de passe fourni pour tenter d'établir une liaison serveur LDAP.
- En cas de succès, l'authentification unique Apigee renvoie un jeton OAuth que le client peut joindre à ses requêtes aux services Edge.
La liaison simple fournit l'installation la plus sécurisée, car aucun identifiant LDAP ni aucune autre donnée n'est exposé à l'authentification unique Apigee lors de la configuration. L'administrateur peut configurer un ou plusieurs formats de nom distinctif dans Apigee SSO à essayer pour une seule entrée de nom d'utilisateur.
Rechercher et lier (liaison indirecte)
Avec la commande search and link, l'utilisateur fournit un RDN et un mot de passe. Apigee SSO trouve ensuite nom distinctif de l'utilisateur. La recherche et la liaison permettent d'obtenir des correspondances partielles.
La base de recherche est le domaine de niveau le plus élevé.
Voici les étapes d'une opération de recherche et de liaison:
- L'utilisateur saisit un RDN, tel qu'un nom d'utilisateur ou une adresse e-mail, ainsi que son mot de passe.
- Apigee SSO effectue une recherche à l'aide d'un filtre LDAP et d'un ensemble d'identifiants de recherche connus.
- S'il existe une seule correspondance, Apigee SSO récupère le nom distinctif de l'utilisateur. S'il y a zéro ou plus plusieurs correspondances, l'authentification unique Apigee rejette l'utilisateur.
- Apigee SSO tente ensuite d'associer le nom distinctif et le mot de passe de l'utilisateur au LDAP Google Cloud.
- Le serveur LDAP effectue l'authentification.
- En cas de succès, l'authentification unique Apigee renvoie un jeton OAuth que le client peut joindre à ses requêtes aux services Edge.
Apigee vous recommande d'utiliser un ensemble d'identifiants d'administrateur en lecture seule que vous mettez à la disposition Apigee SSO pour effectuer une recherche dans l'arborescence LDAP où réside l'utilisateur.