Dieser Abschnitt bietet einen Überblick über die Einbindung externer Verzeichnisdienste in eine vorhandene Installation von Apigee Edge für eine Private Cloud. Diese Funktion ist so konzipiert, dass sie mit jedem Verzeichnisdienst funktioniert, der LDAP unterstützt, z. B. Active Directory und OpenLDAP.
Mit einer externen LDAP-Lösung können Systemadministratoren Nutzeranmeldedaten über einen zentralen Verzeichnisverwaltungsdienst außerhalb von Systemen wie Apigee Edge verwalten, die sie verwenden. Die in diesem Dokument beschriebene Funktion unterstützt sowohl die direkte als auch die indirekte Bindungsauthentifizierung.
Eine ausführliche Anleitung zum Konfigurieren eines externen Verzeichnisdienstes finden Sie unter Externe Authentifizierung konfigurieren.
Zielgruppe
In diesem Dokument wird davon ausgegangen, dass Sie ein globaler Systemadministrator von Apigee Edge für Private Cloud sind und ein Konto beim externen Verzeichnisdienst haben.
Überblick
Standardmäßig verwendet Apigee Edge eine interne OpenLDAP-Instanz zum Speichern von Anmeldedaten, die für die Nutzerauthentifizierung verwendet werden. Sie können Edge jedoch so konfigurieren, dass ein externer Authentifizierungs-LDAP-Dienst anstelle des internen verwendet wird. Das Verfahren für diese externe Konfiguration wird in diesem Dokument erläutert.
Edge speichert außerdem Anmeldedaten für die rollenbasierte Zugriffsberechtigung in einer separaten, internen LDAP-Instanz. Anmeldedaten für die Autorisierung werden unabhängig davon, ob Sie einen externen Authentifizierungsdienst konfigurieren, immer in dieser internen LDAP-Instanz gespeichert. In diesem Dokument wird das Verfahren zum Hinzufügen von Nutzern, die im externen LDAP-System vorhanden sind, zum Edge-Autorisierungs-LDAP beschrieben.
Beachten Sie, dass sich Authentifizierung auf die Validierung der Identität eines Nutzers bezieht, während sich die Autorisierung auf die Überprüfung der Berechtigungsstufe bezieht, die einem authentifizierten Nutzer für die Verwendung von Apigee Edge-Features gewährt wird.
Wissenswertes zur Edge-Authentifizierung und -Autorisierung
Es ist hilfreich, den Unterschied zwischen Authentifizierung und Autorisierung zu verstehen und zu verstehen, wie Apigee Edge diese beiden Aktivitäten verwaltet.
Informationen zur Authentifizierung
Nutzer, die entweder über die Benutzeroberfläche oder über APIs auf Apigee Edge zugreifen, müssen authentifiziert werden. Standardmäßig werden Edge-Nutzeranmeldedaten zur Authentifizierung in einer internen OpenLDAP-Instanz gespeichert. In der Regel müssen sich Nutzer für ein Apigee-Konto registrieren oder dazu aufgefordert werden. Zu diesem Zeitpunkt geben sie ihren Nutzernamen, ihre E-Mail-Adresse, ihr Passwort und andere Metadaten an. Diese Informationen werden im Authentifizierungs-LDAP gespeichert und verwaltet.
Wenn Sie jedoch ein externes LDAP zum Verwalten von Nutzeranmeldedaten im Namen von Edge verwenden möchten, können Sie Edge so konfigurieren, dass das externe LDAP-System anstelle des internen verwendet wird. Wenn ein externes LDAP konfiguriert ist, werden die Anmeldedaten des Nutzers anhand dieses externen Speichers validiert, wie in diesem Dokument erläutert.
Informationen zur Autorisierung
Edge-Organisationsadministratoren können Nutzern bestimmte Berechtigungen für die Interaktion mit Apigee Edge-Entitäten wie API-Proxys, Produkten, Caches, Bereitstellungen usw. gewähren. Berechtigungen werden durch die Zuweisung von Rollen an Nutzer erteilt. Edge umfasst mehrere integrierte Rollen und Organisationsadministratoren können bei Bedarf benutzerdefinierte Rollen definieren. Beispielsweise kann einem Nutzer die Autorisierung (über eine Rolle) gewährt werden, um API-Proxys zu erstellen und zu aktualisieren, aber nicht für die Bereitstellung in einer Produktionsumgebung.
Die vom Edge-Autorisierungssystem verwendeten Schlüsselanmeldedaten sind die E-Mail-Adresse des Nutzers. Diese Anmeldedaten werden (zusammen mit einigen anderen Metadaten) immer im internen Autorisierungs-LDAP von Edge gespeichert. Dieses LDAP ist vollständig vom Authentifizierungs-LDAP (intern oder extern) getrennt.
Nutzer, die über ein externes LDAP authentifiziert werden, müssen auch manuell im Autorisierungs-LDAP-System bereitgestellt werden. Details werden in diesem Dokument erläutert.
Weitere Informationen zur Autorisierung und zu RBAC finden Sie unter Organisationsnutzer verwalten und Rollen zuweisen.
Ausführlichere Informationen finden Sie unter Edge-Authentifizierungs- und Autorisierungsabläufe.
Direkte und indirekte Bindungsauthentifizierung verstehen
Die externe Autorisierungsfunktion unterstützt sowohl die direkte als auch die indirekte Bindung über das externe LDAP-System.
Zusammenfassung: Bei der indirekten Bindungsauthentifizierung muss auf dem externen LDAP-Server nach Anmeldedaten gesucht werden, die mit der E-Mail-Adresse, dem Nutzernamen oder einer anderen ID übereinstimmen, die der Nutzer bei der Anmeldung angegeben hat. Bei der Direct Binding-Authentifizierung wird keine Suche durchgeführt. Anmeldedaten werden direkt an den LDAP-Dienst gesendet und von diesem validiert. Die direkte Bindung-Authentifizierung gilt als effizienter, da keine Suche durchgeführt wird.
Indirekte Bindungs-Authentifizierung
Bei der indirekten Bindungsauthentifizierung gibt der Nutzer Anmeldedaten ein, z. B. eine E-Mail-Adresse, einen Nutzernamen oder ein anderes Attribut, und Edge sucht im Authentifizierungssystem nach diesen Anmeldedaten bzw. diesem Wert. Wenn das Suchergebnis erfolgreich ist, extrahiert das System den LDAP-DN aus den Suchergebnissen und verwendet ihn mit einem angegebenen Passwort, um den Nutzer zu authentifizieren.
Der entscheidende Punkt ist, dass für die indirekte Bindungsauthentifizierung der Aufrufer (z.B. Apigee Edge), um externe LDAP-Administratoranmeldedaten bereitzustellen, damit Edge sich beim externen LDAP „anmelden“ und die Suche ausführen kann. Sie müssen diese Anmeldedaten in einer Edge-Konfigurationsdatei angeben, wie weiter unten in diesem Dokument beschrieben. Außerdem werden die Schritte zum Verschlüsseln der Passwortanmeldedaten beschrieben.
Informationen zur Direct Binding-Authentifizierung
Bei der Direct Binding-Authentifizierung sendet Edge von einem Nutzer eingegebene Anmeldedaten direkt an das externe Authentifizierungssystem. In diesem Fall wird keine Suche auf dem externen System durchgeführt. Die angegebenen Anmeldedaten sind entweder erfolgreich oder schlagen fehl (z.B. wenn der Nutzer nicht im externen LDAP vorhanden ist oder das Passwort falsch ist, schlägt die Anmeldung fehl).
Für die direkte Bindungsauthentifizierung müssen Sie keine Administratoranmeldedaten für das externe Authentifizierungssystem in Apigee Edge konfigurieren (wie bei der indirekten Bindungsauthentifizierung). Sie müssen jedoch einen einfachen Konfigurationsschritt ausführen, der unter Externe Authentifizierung konfigurieren beschrieben wird.
Auf die Apigee-Community zugreifen
Die Apigee-Community ist eine kostenlose Ressource, über die Sie Apigee sowie andere Apigee-Kunden mit Fragen, Tipps und anderen Problemen kontaktieren können. Bevor Sie eine Frage in der Community posten, sollten Sie zuerst nach vorhandenen Beiträgen suchen, um zu sehen, ob Ihre Frage bereits beantwortet wurde.