Esta seção descreve os mecanismos com os quais é possível usar o LDAP como um IdP com o Apigee Edge para nuvem privada.
Vinculação simples (vinculação direta)
Com a vinculação simples, o usuário fornece um atributo RDN. O atributo RDN pode ser uma nome de usuário, endereço de e-mail, nome real ou outro tipo de ID de usuário, dependendo do tipo de identificador é válido. Com esse atributo RDN, o SSO da Apigee constrói estaticamente um nome distinto (DN, na sigla em inglês). Não há correspondências parciais com a vinculação simples.
Confira a seguir as etapas de uma operação de vinculação simples:
- O usuário insere um atributo RDN e uma senha. Por exemplo, eles podem inserir o nome de usuário "alice".
- o SSO da Apigee constrói o DN Por exemplo:
dn=uid=alice,ou=users,dc=test,dc=com
- O SSO da Apigee usa o DN construído estaticamente e a senha fornecida para tentar vincular ao servidor LDAP.
- Se bem-sucedido, o SSO da Apigee retorna um token OAuth que o cliente pode anexar às solicitações aos serviços de borda.
A vinculação simples oferece a instalação mais segura porque nenhuma credencial LDAP ou outro dado é exposto na configuração do SSO da Apigee. O administrador pode configurar um ou mais padrões DN no SSO da Apigee para serem testados em uma única entrada de nome de usuário.
Pesquisar e vincular (vinculação indireta)
Com a opção pesquisar e vincular, o usuário fornece um RDN e uma senha. Em seguida, o SSO da Apigee encontra o DN do usuário. A pesquisa e a vinculação permitem correspondências parciais.
A base de pesquisa é o domínio superior.
Confira a seguir as etapas em uma operação de pesquisa e vinculação:
- O usuário insere um RDN, como um nome de usuário ou endereço de e-mail, além da senha.
- O SSO da Apigee realiza uma pesquisa usando um filtro LDAP e um conjunto de credenciais de pesquisa conhecidas.
- Se houver exatamente uma correspondência, o SSO da Apigee recuperará o DN do usuário. Se houver zero ou mais de correspondência, o SSO da Apigee rejeita o usuário.
- Em seguida, o SSO da Apigee tenta vincular o DN do usuário e a senha fornecida ao LDAP servidor.
- O servidor LDAP realiza a autenticação.
- Se bem-sucedido, o SSO da Apigee retorna um token OAuth que o cliente pode anexar às solicitações aos serviços de borda.
A Apigee recomenda que você use um conjunto de credenciais de administrador somente leitura disponíveis para O SSO da Apigee para executar uma pesquisa na árvore LDAP em que o usuário reside.