Configurar seu IdP LDAP

Esta seção descreve os mecanismos com os quais é possível usar o LDAP como um IdP com o Apigee Edge para nuvem privada.

Vinculação simples (vinculação direta)

Com a vinculação simples, o usuário fornece um atributo RDN. O atributo RDN pode ser uma nome de usuário, endereço de e-mail, nome real ou outro tipo de ID de usuário, dependendo do tipo de identificador é válido. Com esse atributo RDN, o SSO da Apigee constrói estaticamente um nome distinto (DN, na sigla em inglês). Não há correspondências parciais com a vinculação simples.

Confira a seguir as etapas de uma operação de vinculação simples:

  1. O usuário insere um atributo RDN e uma senha. Por exemplo, eles podem inserir o nome de usuário "alice".
  2. o SSO da Apigee constrói o DN Por exemplo:
    dn=uid=alice,ou=users,dc=test,dc=com
  3. O SSO da Apigee usa o DN construído estaticamente e a senha fornecida para tentar vincular ao servidor LDAP.
  4. Se bem-sucedido, o SSO da Apigee retorna um token OAuth que o cliente pode anexar às solicitações aos serviços de borda.

A vinculação simples oferece a instalação mais segura porque nenhuma credencial LDAP ou outro dado é exposto na configuração do SSO da Apigee. O administrador pode configurar um ou mais padrões DN no SSO da Apigee para serem testados em uma única entrada de nome de usuário.

Pesquisar e vincular (vinculação indireta)

Com a opção pesquisar e vincular, o usuário fornece um RDN e uma senha. Em seguida, o SSO da Apigee encontra o DN do usuário. A pesquisa e a vinculação permitem correspondências parciais.

A base de pesquisa é o domínio superior.

Confira a seguir as etapas em uma operação de pesquisa e vinculação:

  1. O usuário insere um RDN, como um nome de usuário ou endereço de e-mail, além da senha.
  2. O SSO da Apigee realiza uma pesquisa usando um filtro LDAP e um conjunto de credenciais de pesquisa conhecidas.
  3. Se houver exatamente uma correspondência, o SSO da Apigee recuperará o DN do usuário. Se houver zero ou mais de correspondência, o SSO da Apigee rejeita o usuário.
  4. Em seguida, o SSO da Apigee tenta vincular o DN do usuário e a senha fornecida ao LDAP servidor.
  5. O servidor LDAP realiza a autenticação.
  6. Se bem-sucedido, o SSO da Apigee retorna um token OAuth que o cliente pode anexar às solicitações aos serviços de borda.

A Apigee recomenda que você use um conjunto de credenciais de administrador somente leitura disponíveis para O SSO da Apigee para executar uma pesquisa na árvore LDAP em que o usuário reside.