このセクションでは、外部ディレクトリ サービスを既存の Apigee Edge for Private Cloud インストールと統合する方法の概要を説明します。この機能は、Active Directory、OpenLDAP など、LDAP をサポートする任意のディレクトリ サービスで動作するように設計されています。
システム管理者は、外部 LDAP ソリューションを使用して、Apigee Edge などのシステムの外部にある一元化されたディレクトリ管理サービスからユーザー認証情報を管理できます。このドキュメントで説明する機能は、直接と間接の両方のバインディング認証をサポートしています。
外部ディレクトリ サービスの構成手順の詳細については、外部認証の構成をご覧ください。
対象読者
このドキュメントは、Apigee Edge for Private Cloud グローバル システム管理者であり、外部ディレクトリ サービスのアカウントを持っていることを前提としています。
概要
デフォルトでは、Apigee Edge は内部 OpenLDAP インスタンスを使用して、ユーザーの認証に使用する認証情報を保存します。ただし、内部サービスではなく外部認証 LDAP サービスを使用するように Edge を構成できます。このドキュメントでは、この外部構成の手順について説明します。
また、ロールベースのアクセス認可認証情報も別の内部 LDAP インスタンスに保存されます。外部認証サービスを構成するかどうかにかかわらず、認証情報は常にこの内部 LDAP インスタンスに保存されます。このドキュメントでは、外部 LDAP システムに存在するユーザーを Edge 認可 LDAP に追加する手順について説明します。
認証はユーザーの ID を検証することを意味し、認可は、認証されたユーザーが Apigee Edge の機能を使用するために付与された権限のレベルを確認することです。
Edge の認証と認可について知っておくべきこと
認証と認可の違いと、Apigee Edge がこれら 2 つのアクティビティを管理する方法を理解しておくと役立ちます。
認証について
UI または API のいずれかを介して Apigee Edge にアクセスするユーザーは、認証を受ける必要があります。デフォルトでは、認証用の Edge ユーザー認証情報は内部 OpenLDAP インスタンスに保存されます。通常、ユーザーは Apigee アカウントの登録を行うか、登録を求められ、その時点でユーザー名、メールアドレス、パスワード認証情報、その他のメタデータを提供します。この情報は認証 LDAP に保存され、管理されます。
ただし、外部 LDAP を使用して Edge の代わりにユーザー認証情報を管理する場合は、内部 LDAP システムではなく外部 LDAP システムを使用するように Edge を構成します。外部 LDAP が構成されると、このドキュメントで説明するように、ユーザー認証情報がその外部ストアに対して検証されます。
承認について
Edge 組織管理者は、API プロキシ、プロダクト、キャッシュ、デプロイなどの Apigee Edge エンティティとやり取りするための特定の権限をユーザーに付与できます。権限は、ユーザーにロールを割り当てることで付与されます。Edge にはいくつかの組み込みロールがあります。また、必要に応じて組織管理者がカスタムロールを定義できます。たとえば、ロールを通じてユーザーに API プロキシの作成と更新を許可し、本番環境へのデプロイは許可しないようにできます。
Edge 認可システムで使用される主要な認証情報は、ユーザーのメールアドレスです。この認証情報と他のメタデータは常に Edge の内部認可 LDAP に保存されます。この LDAP は、認証 LDAP(内部または外部)とは完全に異なります。
外部 LDAP で認証されたユーザーは、認可 LDAP システムに手動でプロビジョニングする必要があります。詳細については、このドキュメントで説明します。
認可と RBAC の詳細については、組織ユーザーの管理とロールの割り当てをご覧ください。
詳細については、Edge の認証と認可フローについてもご覧ください。
直接バインディング認証と間接バインディング認証について
外部認証機能は、外部 LDAP システムを介した直接と間接の両方のバインディング認証をサポートしています。
概要: 間接バインディング認証では、ログイン時にユーザーが指定したメールアドレス、ユーザー名、その他の ID と一致する認証情報を外部 LDAP で検索する必要があります。直接バインディング認証では、検索は実行されません。認証情報は LDAP サービスに直接送信され、それによって検証されます。直接バインディング認証には検索が含まれていないため、より効率的であると考えられます。
間接バインディング認証について
間接バインディング認証では、ユーザーがメールアドレス、ユーザー名、その他の属性などの認証情報を入力すると、Edge は認証システムでこの認証情報/値を検索します。検索結果が成功すると、システムは LDAP DN を検索結果から抽出し、提供されたパスワードとともにそれを使用してユーザーを認証します。
知っておくべき重要なポイントは、間接バインディング認証では呼び出し元(Apigee Edge など)に外部 LDAP 管理者の認証情報を提供します。これにより、Edge は外部 LDAP に「ログイン」して検索を実行できます。これらの認証情報は、このドキュメントの後半で説明する Edge 構成ファイルで指定する必要があります。パスワード認証情報を暗号化する手順についても説明します。
直接バインディング認証について
直接バインディング認証では、ユーザーが入力した認証情報が Edge によって外部認証システムに直接送信されます。この場合、外部システムで検索は行われません。提供された認証情報は成功するか失敗するかのいずれかになります(たとえば、ユーザーが外部 LDAP に存在しない場合や、パスワードが正しくない場合、ログインは失敗します)。
直接バインディング認証では、Apigee Edge で外部認証システムの管理者認証情報を構成する必要はありません(間接バインディング認証と同様)。ただし、外部認証の構成で説明されているように、簡単な構成手順を行う必要があります。
Apigee コミュニティにアクセスする
Apigee コミュニティは、Apigee に関する質問、ヒント、その他の問題について Apigee のスタッフや他の Apigee ユーザーに問い合わせることや、情報交換を行える無料のリソースです。コミュニティに投稿する前に、既存の投稿を検索して同じ質問に対する回答がないかどうかご確認ください。