本部分介绍了在适用于私有云的 Apigee Edge 中将 LDAP 用作 IDP 的机制。
简单绑定(直接绑定)
通过简单绑定,用户需提供 RDN 属性。RDN 属性可以是 用户名、电子邮件地址、真实姓名或其他类型的用户 ID,具体取决于 。借助该 RDN 属性,Apigee SSO 可静态构造标识名 (DN)。 使用简单绑定时,不会出现部分匹配。
下面展示了简单绑定操作中的步骤:
- 用户输入 RDN 属性和密码。例如,他们可能会输入 “alice”。
- Apigee SSO 构建 DN;例如:
dn=uid=alice,ou=users,dc=test,dc=com
- Apigee SSO 使用静态构建的 DN 和提供的密码来尝试绑定到 LDAP 服务器。
- 如果成功,Apigee SSO 会返回一个 OAuth 令牌,客户端可以将该令牌附加到其请求中 边缘服务
简单绑定可提供最安全的安装方式,因为系统不会通过配置向 Apigee SSO 公开任何 LDAP 凭据或其他数据。管理员可以在 Apigee SSO 中配置一个或多个 DN 模式,以便尝试通过单个用户名输入。
搜索和绑定(间接绑定)
使用搜索和绑定,用户需提供 RDN 和密码。然后,Apigee SSO 会查找 用户的 DN。搜索和绑定允许部分匹配。
搜索库是最顶级的域名。
下面显示了搜索和绑定操作中的步骤:
- 用户输入 RDN(例如用户名或电子邮件地址)及其密码。
- Apigee SSO 使用 LDAP 过滤条件和一组已知的搜索凭据执行搜索。
- 如果只有一个匹配项,Apigee SSO 将检索用户的 DN。如果其中包含零个或更多 多个匹配项,则 Apigee SSO 会拒绝该用户。
- 然后,Apigee SSO 会尝试将用户的 DN 和提供的密码与 LDAP 绑定 服务器。
- LDAP 服务器会执行身份验证。
- 如果成功,Apigee SSO 会返回一个 OAuth 令牌,客户端可以将该令牌附加到其请求中 边缘服务
Apigee 建议您使用一组可供 Apigee SSO,在用户所在的 LDAP 树中执行搜索。