ส่วนนี้จะอธิบายกลไกที่คุณสามารถใช้ LDAP เป็น IdP ที่มี Apigee Edge สำหรับ Private Cloud
การเชื่อมโยงแบบง่าย (การเชื่อมโยงโดยตรง)
เมื่อใช้การเชื่อมโยงแบบง่าย ผู้ใช้จะระบุแอตทริบิวต์ RDN แอตทริบิวต์ RDN สามารถใช้ค่า ชื่อผู้ใช้ ที่อยู่อีเมล ชื่อทั่วไป หรือรหัสผู้ใช้ประเภทอื่นๆ ทั้งนี้ขึ้นอยู่กับประเภทหลัก อย่างไร Apigee SSO จะสร้างชื่อเฉพาะ (DN) โดยใช้แอตทริบิวต์ RDN ดังกล่าว ไม่มีรายการที่ตรงกันบางส่วนที่มีการเชื่อมโยงแบบง่าย
ข้อมูลต่อไปนี้จะแสดงขั้นตอนในการเชื่อมโยงแบบง่าย
- ผู้ใช้ป้อนแอตทริบิวต์ RDN และรหัสผ่าน เช่น อาจป้อนชื่อผู้ใช้ "alice"
- SSO ของ Apigee จะสร้าง DN เช่น
dn=uid=alice,ou=users,dc=test,dc=com
- SSO ของ Apigee ใช้ DN ที่สร้างขึ้นแบบคงที่และรหัสผ่านที่ระบุเพื่อพยายามเชื่อมโยงกับ เซิร์ฟเวอร์ LDAP
- หากดำเนินการสำเร็จ Apigee SSO จะแสดงโทเค็น OAuth ที่ไคลเอ็นต์แนบไปกับคำขอได้ ไปยังบริการ Edge
การเชื่อมโยงแบบง่ายช่วยให้ติดตั้งได้อย่างปลอดภัยที่สุดเนื่องจากไม่มีการเปิดเผยข้อมูลเข้าสู่ระบบ LDAP หรือข้อมูลอื่นๆ ผ่านการกำหนดค่าไปยัง SSO ของ Apigee ผู้ดูแลระบบสามารถกำหนดค่ารูปแบบ DN อย่างน้อย 1 รูปแบบใน SSO ของ Apigee เพื่อลองใช้ป้อนชื่อผู้ใช้รายการเดียว
ค้นหาและเชื่อมโยง (เชื่อมโยงโดยอ้อม)
เมื่อใช้การค้นหาและเชื่อมโยง ผู้ใช้จะใส่ RDN และรหัสผ่าน Apigee SSO จะค้นหาพารามิเตอร์ DN ของผู้ใช้ การค้นหาและเชื่อมโยงช่วยให้สามารถจับคู่ได้บางส่วน
ฐานการค้นหาคือโดเมนระดับบนสุด
ข้อมูลต่อไปนี้จะแสดงขั้นตอนในการค้นหาและเชื่อมโยง
- ผู้ใช้ป้อน RDN เช่น ชื่อผู้ใช้หรืออีเมล รวมถึงรหัสผ่าน
- Apigee SSO จะค้นหาโดยใช้ตัวกรอง LDAP และชุดข้อมูลรับรองการค้นหาที่รู้จัก
- หากมีข้อมูลที่ตรงกันเพียง 1 รายการ SSO ของ Apigee จะดึงข้อมูล DN ของผู้ใช้ หากมีตั้งแต่ 0 หน่วยขึ้นไป รายการที่ตรงกันมากกว่า 1 รายการ SSO ของ Apigee จะปฏิเสธผู้ใช้
- จากนั้น Apigee SSO จะพยายามเชื่อมโยง DN ของผู้ใช้และรหัสผ่านที่ระบุกับ LDAP เซิร์ฟเวอร์
- เซิร์ฟเวอร์ LDAP จะดำเนินการตรวจสอบสิทธิ์
- หากดำเนินการสำเร็จ Apigee SSO จะแสดงโทเค็น OAuth ที่ไคลเอ็นต์แนบไปกับคำขอได้ ไปยังบริการ Edge
Apigee แนะนำให้ใช้ชุดข้อมูลเข้าสู่ระบบของผู้ดูแลระบบแบบอ่านอย่างเดียวที่คุณกำหนดให้ใช้งานได้ SSO ของ Apigee สำหรับทำการค้นหาในโครงสร้าง LDAP ที่มีผู้ใช้อยู่