Questa sezione fornisce una panoramica di come i servizi di directory esterni si integrano con un'installazione di Apigee Edge per cloud privato esistente. Questa funzionalità è progettata per funzionare con qualsiasi servizio di directory che supporti LDAP, come Active Directory, OpenLDAP e altri.
Una soluzione LDAP esterna consente agli amministratori di sistema di gestire le credenziali utente da un servizio di gestione delle directory centralizzato, esterno ai sistemi come Apigee Edge che le utilizzano. La funzionalità descritta in questo documento supporta l'autenticazione con associazione diretta e indiretta.
Per istruzioni dettagliate sulla configurazione di un servizio di directory esterno, consulta Configurazione dell'autenticazione esterna.
Pubblico
Questo documento presuppone che tu sia un amministratore di sistema globale Apigee Edge per Cloud privato e che disponi di un account per il servizio di directory esterna.
Panoramica
Per impostazione predefinita, Apigee Edge utilizza un'istanza OpenLDAP interna per archiviare le credenziali utilizzate per l'autenticazione degli utenti. Tuttavia, puoi configurare Edge in modo che utilizzi un servizio LDAP di autenticazione esterna anziché quello interno. La procedura per questa configurazione esterna è spiegata in questo documento.
Edge inoltre archivia le credenziali di autorizzazione di accesso basate sui ruoli in un'istanza LDAP interna separata. Indipendentemente dalla configurazione di un servizio di autenticazione esterno, le credenziali di autorizzazione vengono sempre archiviate in questa istanza LDAP interna. In questo documento viene spiegata la procedura per aggiungere gli utenti esistenti nel sistema LDAP esterno al server LDAP di autorizzazione perimetrale.
Tieni presente che per autenticazione si intende la convalida dell'identità utente, mentre l'autorizzazione si riferisce alla verifica del livello di autorizzazione concesso a un utente autenticato per l'utilizzo delle funzionalità di Apigee Edge.
Cosa devi sapere sull'autenticazione e sull'autorizzazione perimetrale
È utile comprendere la differenza tra autenticazione e autorizzazione e come Apigee Edge gestisce queste due attività.
Informazioni sull'autenticazione
Gli utenti che accedono ad Apigee Edge tramite l'interfaccia utente o le API devono essere autenticati. Per impostazione predefinita, le credenziali utente Edge per l'autenticazione vengono archiviate in un'istanza OpenLDAP interna. In genere, gli utenti devono registrarsi o ricevere una richiesta di registrazione per un account Apigee e a quel punto devono fornire il proprio nome utente, l'indirizzo email, le credenziali della password e altri metadati. Queste informazioni vengono archiviate e gestite dal server LDAP di autenticazione.
Tuttavia, se vuoi utilizzare un LDAP esterno per gestire le credenziali utente per conto di Edge, puoi farlo configurando Edge in modo che utilizzi il sistema LDAP esterno anziché quello interno. Quando viene configurato un LDAP esterno, le credenziali utente vengono convalidate in base all'archivio esterno, come spiegato in questo documento.
Informazioni sull'autorizzazione
Gli amministratori delle organizzazioni Edge possono concedere autorizzazioni specifiche agli utenti per interagire con entità Apigee Edge come proxy API, prodotti, cache, deployment e così via. Le autorizzazioni vengono concesse attraverso l'assegnazione di ruoli agli utenti. Edge include diversi ruoli integrati e, se necessario, gli amministratori dell'organizzazione possono definire ruoli personalizzati. Ad esempio, a un utente può essere concessa l'autorizzazione (tramite un ruolo) a creare e aggiornare i proxy API, ma non a eseguirne il deployment in un ambiente di produzione.
La credenziale della chiave utilizzata dal sistema di autorizzazione perimetrale è l'indirizzo email dell'utente. Questa credenziale (insieme ad alcuni altri metadati) viene sempre archiviata nel server LDAP di autorizzazione interna di Edge. Questo LDAP è completamente separato dal LDAP di autenticazione (interno o esterno).
È necessario inoltre eseguire manualmente il provisioning degli utenti autenticati tramite un LDAP esterno nel sistema LDAP di autorizzazione. I dettagli sono illustrati in questo documento.
Per ulteriori informazioni sull'autorizzazione e su RBAC, consulta Gestione degli utenti dell'organizzazione e Assegnazione dei ruoli.
Per una visualizzazione più approfondita, consulta anche Informazioni sui flussi di autenticazione e autorizzazione Edge.
Informazioni sull'autenticazione dell'associazione diretta e indiretta
La funzionalità di autorizzazione esterna supporta l'autenticazione con associazione diretta e indiretta tramite il sistema LDAP esterno.
Riepilogo: l'autenticazione tramite associazione indiretta richiede una ricerca sul LDAP esterno per trovare credenziali che corrispondono all'indirizzo email, al nome utente o a un altro ID fornito dall'utente al momento dell'accesso. Con l'autenticazione dell'associazione diretta non viene eseguita alcuna ricerca: le credenziali vengono inviate e convalidate direttamente dal servizio LDAP. L'autenticazione dell'associazione diretta è considerata più efficiente perché non prevede alcuna ricerca.
Informazioni sull'autenticazione dell'associazione indiretta
Con l'autenticazione dell'associazione indiretta, l'utente inserisce una credenziale, ad esempio un indirizzo email, un nome utente o qualche altro attributo, e Edge cerca questa credenziale/valore nel sistema di autenticazione. Se il risultato della ricerca ha esito positivo, il sistema estrae il DN LDAP dai risultati di ricerca e lo utilizza con una password fornita per autenticare l'utente.
Il punto fondamentale da sapere è che l'autenticazione mediante associazione indiretta richiede il chiamante (ad es. Apigee Edge) per fornire credenziali amministrative LDAP esterne in modo che Edge possa "accedere" al server LDAP esterno ed eseguire la ricerca. Devi fornire queste credenziali in un file di configurazione Edge, descritto più avanti in questo documento. Sono descritti anche i passaggi per criptare la credenziale della password.
Informazioni sull'autenticazione dell'associazione diretta
Con l'autenticazione dell'associazione diretta, Edge invia le credenziali inserite da un utente direttamente al sistema di autenticazione esterno. In questo caso, non viene eseguita alcuna ricerca sul sistema esterno. Le credenziali fornite hanno esito positivo o negativo (ad esempio, se l'utente non è presente nel LDAP esterno o se la password non è corretta, l'accesso non andrà a buon fine).
L'autenticazione tramite associazione diretta non richiede di configurare le credenziali di amministratore per il sistema di autenticazione esterno in Apigee Edge (come nel caso dell'autenticazione con associazione indiretta); tuttavia, devi eseguire un semplice passaggio di configurazione, descritto in Configurare l'autenticazione esterna.
Accedi alla community di Apigee
La community Apigee è una risorsa senza costi dove puoi contattare Apigee e altri clienti Apigee per domande, suggerimenti e altri problemi. Prima di pubblicare un post per la community, assicurati di cercare i post esistenti per vedere se la tua domanda ha già ricevuto una risposta.