Định cấu hình IDP LDAP

Phần này mô tả các cơ chế mà bạn có thể dùng Giao thức truy cập thư mục hạng nhẹ (LDAP) với tư cách là Nhà cung cấp danh tính (IDP) với Apigee Edge cho Đám mây riêng tư.

Liên kết đơn giản (liên kết trực tiếp)

Với liên kết đơn giản, người dùng cung cấp thuộc tính RDN. Thuộc tính RDN có thể là tên người dùng, địa chỉ email, tên thông thường hoặc các loại mã nhận dạng người dùng khác, tuỳ thuộc vào có thể nhận dạng. Với thuộc tính RDN đó, dịch vụ SSO của Apigee sẽ tạo tĩnh một tên phân biệt (DN). Không có kết quả nào khớp một phần với liên kết đơn giản.

Dưới đây là các bước trong một thao tác liên kết đơn giản:

  1. Người dùng nhập một thuộc tính và mật khẩu RDN. Ví dụ: họ có thể nhập tên người dùng "alice".
  2. SSO của Apigee tạo nên DN; ví dụ: 
    dn=uid=alice,ou=users,dc=test,dc=com
  3. Dịch vụ SSO của Apigee sử dụng DN được tạo tĩnh và mật khẩu được cung cấp để thử liên kết với Máy chủ LDAP.
  4. Nếu thành công, dịch vụ SSO của Apigee sẽ trả về một mã thông báo OAuth mà ứng dụng có thể đính kèm vào yêu cầu của họ đến các dịch vụ Edge.

Phương thức liên kết đơn giản giúp quá trình cài đặt trở nên an toàn nhất vì không có thông tin đăng nhập LDAP hay dữ liệu nào khác được tiết lộ thông qua cấu hình đối với dịch vụ SSO của Apigee. Quản trị viên có thể thiết lập một hoặc nhiều mẫu DN trong dịch vụ SSO của Apigee để thử nhập một tên người dùng duy nhất.

Tìm kiếm và liên kết (liên kết gián tiếp)

Với tính năng tìm kiếm và liên kết, người dùng cung cấp RDN và mật khẩu. Sau đó, dịch vụ SSO của Apigee sẽ tìm tên doanh nghiệp của người dùng. Tính năng tìm kiếm và liên kết cho phép các kết quả khớp một phần.

Cơ sở tìm kiếm là miền cấp cao nhất.

Dưới đây là các bước trong một thao tác tìm kiếm và liên kết:

  1. Người dùng nhập RDN, chẳng hạn như tên người dùng hoặc địa chỉ email, cùng với mật khẩu của họ.
  2. Dịch vụ SSO của Apigee thực hiện tìm kiếm bằng bộ lọc LDAP và một bộ thông tin đăng nhập tìm kiếm đã biết.
  3. Nếu có đúng một kết quả trùng khớp, dịch vụ SSO của Apigee sẽ truy xuất DN của người dùng. Nếu không có hoặc nhiều hơn nhiều hơn 1 kết quả trùng khớp, nhưng dịch vụ SSO của Apigee sẽ từ chối người dùng đó.
  4. Sau đó, dịch vụ SSO của Apigee sẽ cố gắng liên kết DN của người dùng và cung cấp mật khẩu dựa trên LDAP máy chủ.
  5. Máy chủ LDAP thực hiện quá trình xác thực.
  6. Nếu thành công, dịch vụ SSO của Apigee sẽ trả về một mã thông báo OAuth mà ứng dụng có thể đính kèm vào yêu cầu của họ đến các dịch vụ Edge.

Apigee khuyên bạn nên dùng một bộ thông tin đăng nhập của quản trị viên, chỉ có quyền đọc mà bạn cung cấp cho SSO của Apigee để tìm kiếm cây LDAP nơi người dùng thường trú.