ส่วนนี้จะอธิบายกลไกที่คุณใช้ LDAP เป็น IdP ด้วย Apigee Edge สำหรับ Private Cloud ได้
การเชื่อมโยงอย่างง่าย (การเชื่อมโยงโดยตรง)
เมื่อใช้การเชื่อมโยงแบบง่าย ผู้ใช้จะระบุแอตทริบิวต์ RDN แอตทริบิวต์ RDN อาจเป็นชื่อผู้ใช้ อีเมล ชื่อทั่วไป หรือรหัสผู้ใช้ประเภทอื่นๆ ทั้งนี้ขึ้นอยู่กับว่าตัวระบุหลักคืออะไร เมื่อใช้แอตทริบิวต์ RDN ดังกล่าว Apigee SSO จะสร้างชื่อเฉพาะ (DN) แบบคงที่ ไม่มีรายการที่ตรงกันบางส่วนที่มีการเชื่อมโยงแบบง่าย
ตัวอย่างต่อไปนี้แสดงขั้นตอนการเชื่อมโยงแบบง่าย
- ผู้ใช้ต้องป้อนแอตทริบิวต์ RDN และรหัสผ่าน ตัวอย่างเช่น ผู้ใช้อาจป้อนชื่อผู้ใช้ “alice”
- Apigee SSO จะสร้าง DN เช่น
dn=uid=alice,ou=users,dc=test,dc=com
- Apigee SSO จะใช้ DN ที่สร้างขึ้นแบบคงที่และรหัสผ่านที่ให้มาเพื่อพยายามเชื่อมโยงกับเซิร์ฟเวอร์ LDAP
- หากดำเนินการสำเร็จ Apigee SSO จะส่งกลับโทเค็น OAuth ที่ไคลเอ็นต์แนบไปกับคำขอที่ส่งไปยังบริการ Edge
การเชื่อมโยงแบบง่ายทำให้การติดตั้งมีความปลอดภัยมากที่สุดเพราะไม่มีข้อมูลเข้าสู่ระบบ LDAP หรือข้อมูลอื่นผ่านการกำหนดค่าใน SSO ของ Apigee ผู้ดูแลระบบสามารถกำหนดค่ารูปแบบ DN อย่างน้อย 1 รูปแบบใน Apigee SSO เพื่อลองใช้อินพุตชื่อผู้ใช้เดียว
การค้นหาและเชื่อมโยง (การเชื่อมโยงโดยอ้อม)
เมื่อใช้การค้นหาและเชื่อมโยง ผู้ใช้จะป้อน RDN และรหัสผ่าน จากนั้น Apigee SSO จะค้นหา DN ของผู้ใช้ การค้นหาและเชื่อมโยงทำให้ได้รายการที่ตรงกันบางส่วน
ฐานการค้นหาคือโดเมนระดับบนสุด
ตัวอย่างต่อไปนี้แสดงขั้นตอนในการค้นหาและเชื่อมโยง
- ผู้ใช้ป้อน RDN เช่น ชื่อผู้ใช้หรืออีเมล พร้อมกับรหัสผ่าน
- Apigee SSO จะค้นหาโดยใช้ตัวกรอง LDAP และชุดข้อมูลรับรองการค้นหาที่ทราบ
- หากมีข้อมูลที่ตรงกันเพียง 1 รายการ Apigee SSO จะเรียกข้อมูล DN ของผู้ใช้ หากมีรายการที่ตรงกันอย่างน้อย 0 รายการ Apigee SSO จะปฏิเสธผู้ใช้
- จากนั้น Apigee SSO จะพยายามเชื่อมโยง DN ของผู้ใช้และรหัสผ่านที่ให้ไว้กับเซิร์ฟเวอร์ LDAP
- เซิร์ฟเวอร์ LDAP จะดำเนินการตรวจสอบสิทธิ์
- หากดำเนินการสำเร็จ Apigee SSO จะส่งกลับโทเค็น OAuth ที่ไคลเอ็นต์แนบไปกับคำขอที่ส่งไปยังบริการ Edge
Apigee ขอแนะนำให้คุณใช้ชุดข้อมูลรับรองของผู้ดูแลระบบแบบอ่านอย่างเดียวซึ่งคุณกำหนดให้ SSO ของ Apigee ใช้งานได้เพื่อทำการค้นหาบนโครงสร้าง LDAP ที่ผู้ใช้อยู่