مصادقة موفِّر الهوية (واجهة المستخدم الكلاسيكية)

يقدّم هذا القسم نظرة عامة حول كيفية تكامل خدمات الدليل الخارجي مع خادم Apigee Edge الحالي لتثبيت Private Cloud. وقد تم تصميم هذه الميزة للعمل مع أي خدمة من خدمات الدليل التي تتوافق مع بروتوكول LDAP، مثل Active Directory وOpenLDAP وغير ذلك.

يسمح حل LDAP الخارجي لمشرفي النظام بإدارة بيانات اعتماد المستخدمين من خدمة إدارة دليل مركزية، خارج أنظمة مثل Apigee Edge. وتتيح الميزة الموضّحة في هذا المستند إمكانية المصادقة الربط المباشر وغير المباشر على حدّ سواء.

للحصول على تعليمات تفصيلية حول ضبط خدمة دليل خارجي، راجِع ضبط المصادقة الخارجية.

الجمهور

يفترض هذا المستند أنّك مشرف النظام العام في Apigee Edge وأن لديك حسابًا على خدمة الدليل الخارجي.

نظرة عامة

بشكل تلقائي، يستخدم Apigee Edge مثيل OpenLDAP الداخلي لتخزين بيانات الاعتماد المستخدمة لمصادقة المستخدم. ومع ذلك، يمكنك ضبط Edge لاستخدام خدمة LDAP للمصادقة الخارجية بدلاً من الخدمة الداخلية. ويتم توضيح إجراءات هذه الإعدادات الخارجية في هذا المستند.

يخزِّن Edge أيضًا بيانات اعتماد التفويض للوصول المستند إلى الدور في مثيل LDAP داخلي منفصل. وسواء أعددت خدمة مصادقة خارجية أم لا، يتم تخزين بيانات اعتماد التفويض دائمًا في مثيل LDAP الداخلي هذا. ويحتوي هذا المستند على شرح لإجراء إضافة المستخدمين المتوفرين في نظام LDAP الخارجي إلى بروتوكول LDAP لتفويض Edge.

يُرجى العِلم بأنّ المصادقة تشير إلى التحقّق من هوية المستخدم، في حين تشير التفويض إلى التحقّق من مستوى الإذن الذي تم منحه للمستخدم الذي تمت المصادقة عليه لاستخدام ميزات Apigee Edge.

ما تحتاج إلى معرفته عن مصادقة وتفويض Edge

من المفيد أن تفهم الفرق بين المصادقة والتفويض وطريقة إدارة Apigee Edge لهذين النشاطَين.

لمحة عن المصادقة

يجب مصادقة المستخدمين الذين يدخلون إلى Apigee Edge إما من خلال واجهة المستخدم أو واجهات برمجة التطبيقات. ويتم تلقائيًا تخزين بيانات اعتماد مستخدم Edge للمصادقة في مثيل OpenLDAP الداخلي. ويجب عادةً تسجيل المستخدمين في حساب Apigee أو طلب منهم التسجيل، وعندها يمكنهم تقديم اسم المستخدم وعنوان البريد الإلكتروني وبيانات اعتماد كلمة المرور وغيرها من البيانات الوصفية. ويتم تخزين هذه المعلومات وإدارتها من خلال بروتوكول LDAP.

ومع ذلك، إذا أردت استخدام بروتوكول LDAP خارجي لإدارة بيانات اعتماد المستخدم نيابةً عن Edge، يمكنك إجراء ذلك من خلال ضبط Edge لاستخدام نظام LDAP الخارجي بدلاً من النظام الداخلي. عند ضبط LDAP خارجي، يتم التحقق من بيانات اعتماد المستخدم في هذا المتجر الخارجي، كما هو موضّح في هذا المستند.

لمحة عن التفويض

يمكن لمشرفي مؤسسة Edge منح أذونات محدَّدة للمستخدمين للتفاعل مع كيانات Apigee Edge، مثل الخوادم الوكيلة لواجهة برمجة التطبيقات والمنتجات وذاكرات التخزين المؤقت وعمليات النشر وما إلى ذلك. يتم منح الأذونات من خلال تعيين الأدوار للمستخدمين. يتضمّن إصدار Edge العديد من الأدوار المضمَّنة، ويمكن لمشرفي المؤسسة تحديد الأدوار المخصَّصة إذا لزم الأمر. على سبيل المثال، يمكن أن يتم منح المستخدم الإذن (من خلال دور) لإنشاء الخوادم الوكيلة لواجهة برمجة التطبيقات وتحديثها، ولكن ليس من أجل نشرها في بيئة إنتاج.

بيانات الاعتماد الرئيسية التي يستخدمها نظام تفويض Edge هي عنوان البريد الإلكتروني للمستخدم. يتم دائمًا تخزين بيانات الاعتماد هذه (بالإضافة إلى بعض البيانات الوصفية الأخرى) في بروتوكول LDAP للتفويض الداخلي لبرنامج Edge. ويُعدّ بروتوكول LDAP هذا منفصلاً تمامًا عن مصادقة LDAP (سواء كانت داخلية أو خارجية).

بالنسبة إلى المستخدمين الذين تمت مصادقتهم من خلال LDAP خارجي، يجب أيضًا تزويدهم يدويًا بنظام LDAP للتفويض. يتم توضيح التفاصيل في هذا المستند.

لمزيد من المعلومات الأساسية عن التفويض وعملية RBAC، يُرجى الاطّلاع على مقالة إدارة مستخدمي المؤسسة وإسناد الأدوار.

لإلقاء نظرة أكثر تفصيلاً، يمكنك أيضًا الاطّلاع على التعرّف على تدفقات المصادقة والترخيص في Edge.

فهم المصادقة الملزمة المباشرة وغير المباشرة

تدعم ميزة التفويض الخارجي مصادقة الربط المباشرة وغير المباشرة من خلال نظام LDAP الخارجي.

الملخّص: تتطلّب المصادقة المرتبطة غير المباشرة البحث على بروتوكول LDAP الخارجي عن بيانات الاعتماد التي تتطابق مع عنوان البريد الإلكتروني أو اسم المستخدم أو أي معرّف آخر يقدّمه المستخدم عند تسجيل الدخول. باستخدام المصادقة المباشرة، لا يتم إجراء أي بحث، بل يتم إرسال بيانات الاعتماد إلى خدمة LDAP والتحقّق منها مباشرةً. وتُعتبر مصادقة الربط المباشر أكثر كفاءة لأنّها لا تتطلّب أي بحث.

لمحة عن المصادقة المرتبطة غير المباشرة

باستخدام المصادقة الملزِمة غير المباشرة، يُدخل المستخدم بيانات اعتماد، مثل عنوان البريد الإلكتروني أو اسم المستخدم أو أي سمة أخرى، ويبحث Edge عن نظام المصادقة عن بيانات الاعتماد/القيمة هذه. إذا نجحت نتيجة البحث، يستخرج النظام اسم LDAP المميز (DN) من نتائج البحث ويستخدمه مع كلمة مرور مقدَّمة لمصادقة المستخدم.

وأهم ما يجب معرفته هو أن مصادقة الربط غير المباشرة تتطلب المتصل (على سبيل المثال، Apigee Edge) لتوفير بيانات اعتماد مشرف LDAP خارجية حتى يتمكن Edge من "تسجيل الدخول" إلى LDAP الخارجي وإجراء البحث. يجب تقديم بيانات الاعتماد هذه في ملف إعداد Edge، والموضح لاحقًا في هذا المستند. يتم أيضًا توضيح الخطوات لتشفير بيانات اعتماد كلمة المرور.

لمحة عن مصادقة الربط المباشر

باستخدام المصادقة الربط المباشر، يرسل Edge بيانات الاعتماد التي أدخلها المستخدم مباشرةً إلى نظام المصادقة الخارجي. في هذه الحالة، لا يتم إجراء أي بحث على النظام الخارجي. نجاح بيانات الاعتماد المقدمة أو تعذُّر إتمامها (على سبيل المثال، إذا لم يكن المستخدم متاحًا في بروتوكول LDAP الخارجي أو إذا كانت كلمة المرور غير صحيحة، سيتعذّر تسجيل الدخول).

لا تتطلّب مصادقة الربط المباشر ضبط بيانات اعتماد المشرف لنظام المصادقة الخارجي في Apigee Edge (كما هو الحال مع المصادقة الربط غير المباشرة)، ومع ذلك، هناك خطوة إعداد بسيطة يجب إجراؤها، كما هو موضَّح في ضبط المصادقة الخارجية.

الوصول إلى منتدى Apigee

منتدى Apigee هو مرجع مجاني يمكنك من خلاله التواصل مع Apigee وغيرهم من عملاء Apigee وطرح أسئلة عليهم ونصائح ومشاكل أخرى. وقبل نشر مشاركة في المنتدى، احرص أولاً على البحث في المشاركات الحالية لمعرفة ما إذا تمت الإجابة عن سؤالك.