Authentification de l'IdP (interface utilisateur classique)

Cette section explique comment les services d'annuaire externes s'intègrent à une installation existante d'Apigee Edge pour le cloud privé. Cette fonctionnalité est conçue pour fonctionner avec tout service d'annuaire compatible avec LDAP, tel qu'Active Directory, OpenLDAP, etc.

Une solution LDAP externe permet aux administrateurs système de gérer les identifiants des utilisateurs à partir d'un service de gestion d'annuaire centralisé, externe aux systèmes tels qu'Apigee Edge qui les utilisent. La fonctionnalité décrite dans ce document est compatible avec l'authentification par liaison directe et indirecte.

Pour obtenir des instructions détaillées sur la configuration d'un service d'annuaire externe, consultez la page Configurer l'authentification externe.

Audience

Dans ce document, nous partons du principe que vous êtes un administrateur système global Apigee Edge pour Private Cloud et que vous disposez d'un compte pour le service d'annuaire externe.

Présentation

Par défaut, Apigee Edge utilise une instance OpenLDAP interne pour stocker les identifiants utilisés pour l'authentification utilisateur. Cependant, vous pouvez configurer Edge pour utiliser un service d'authentification LDAP externe au lieu du service interne. La procédure pour cette configuration externe est expliquée dans ce document.

Edge stocke également les identifiants d'autorisation d'accès basés sur les rôles dans une instance LDAP interne distincte. Que vous configuriez ou non un service d'authentification externe, les identifiants d'autorisation sont toujours stockés dans cette instance LDAP interne. La procédure permettant d'ajouter au serveur LDAP d'autorisation Edge des utilisateurs existant dans le système LDAP externe est expliquée dans ce document.

Notez que l'authentification fait référence à la validation de l'identité d'un utilisateur, tandis que l'autorisation fait référence à la vérification du niveau d'autorisation accordé à un utilisateur authentifié pour utiliser les fonctionnalités d'Apigee Edge.

Ce que vous devez savoir sur l'authentification et l'autorisation Edge

Il est utile de comprendre la différence entre l'authentification et l'autorisation, et de comprendre comment Apigee Edge gère ces deux activités.

À propos de l'authentification

Les utilisateurs qui accèdent à Apigee Edge via l'interface utilisateur ou les API doivent être authentifiés. Par défaut, les informations d'identification de l'utilisateur Edge pour l'authentification sont stockées dans une instance OpenLDAP interne. En règle générale, les utilisateurs doivent s'inscrire à un compte Apigee ou être invités à le faire. Ils doivent alors fournir leur nom d'utilisateur, leur adresse e-mail, leurs identifiants de mot de passe et d'autres métadonnées. Ces informations sont stockées et gérées par le service LDAP d'authentification.

Toutefois, si vous souhaitez utiliser un LDAP externe pour gérer les informations d'identification de l'utilisateur pour le compte d'Edge, vous pouvez le faire en configurant Edge pour qu'il utilise le système LDAP externe plutôt que le système interne. Lorsqu'un LDAP externe est configuré, les identifiants de l'utilisateur sont validés par rapport à ce magasin externe, comme expliqué dans ce document.

À propos de l'autorisation

Les administrateurs d'organisation Edge peuvent accorder des autorisations spécifiques aux utilisateurs pour interagir avec des entités Apigee Edge telles que les proxys d'API, les produits, les caches, les déploiements, etc. Les autorisations sont accordées en attribuant des rôles aux utilisateurs. Edge inclut plusieurs rôles intégrés et, si nécessaire, les administrateurs de l'organisation peuvent définir des rôles personnalisés. Par exemple, un utilisateur peut se voir accorder l'autorisation (via un rôle) de créer et de mettre à jour des proxys d'API, mais pas de les déployer dans un environnement de production.

L'identifiant de clé utilisé par le système d'autorisation Edge est l'adresse e-mail de l'utilisateur. Cet identifiant (ainsi que certaines autres métadonnées) est toujours stocké dans le LDAP d'autorisation interne d'Edge. Ce protocole LDAP est entièrement distinct du LDAP d'authentification (interne ou externe).

Les utilisateurs authentifiés via un LDAP externe doivent également être provisionnés manuellement dans le système LDAP d'autorisation. Vous trouverez des informations détaillées dans ce document.

Pour en savoir plus sur l'autorisation et le contrôle RBAC, consultez les pages Gérer les utilisateurs de l'organisation et Attribuer des rôles.

Pour en savoir plus, consultez également la page Comprendre les flux d'authentification et d'autorisation Edge.

Comprendre l'authentification par liaison directe et indirecte

La fonctionnalité d'autorisation externe est compatible avec l'authentification de liaison directe et indirecte via le système LDAP externe.

Résumé: L'authentification par liaison indirecte nécessite de rechercher sur le LDAP externe les identifiants correspondant à l'adresse e-mail, au nom d'utilisateur ou à tout autre ID fourni par l'utilisateur lors de la connexion. Avec l'authentification par liaison directe, aucune recherche n'est effectuée : les identifiants sont envoyés au service LDAP et validés directement par celui-ci. L'authentification par liaison directe est considérée comme plus efficace, car aucune recherche n'est nécessaire.

À propos de l'authentification par liaison indirecte

Avec l'authentification par liaison indirecte, l'utilisateur saisit des informations d'identification, telles qu'une adresse e-mail, un nom d'utilisateur ou tout autre attribut, et Edge recherche dans le système d'authentification cet identifiant/cette valeur. Si le résultat de la recherche aboutit, le système extrait le nom distinctif LDAP des résultats de recherche et l'utilise avec le mot de passe fourni pour authentifier l'utilisateur.

Il est essentiel de savoir que l'authentification par liaison indirecte nécessite l'appelant (par exemple, Apigee Edge) pour fournir les identifiants d'administrateur LDAP externes afin qu'Edge puisse "se connecter" au LDAP externe et effectuer la recherche. Vous devez fournir ces informations d'identification dans un fichier de configuration Edge, décrit plus loin dans ce document. Les étapes sont également décrites pour chiffrer les identifiants du mot de passe.

À propos de l'authentification par liaison directe

Avec l'authentification par liaison directe, Edge envoie directement les informations d'identification saisies par un utilisateur au système d'authentification externe. Dans ce cas, aucune recherche n'est effectuée sur le système externe. Les identifiants fournis réussissent ou échouent (par exemple, si l'utilisateur n'est pas présent dans le LDAP externe ou si le mot de passe est incorrect, la connexion échoue).

L'authentification par liaison directe ne nécessite pas de configurer des identifiants d'administrateur pour le système d'authentification externe dans Apigee Edge (comme avec l'authentification par liaison indirecte). Toutefois, vous devez effectuer une étape de configuration simple, décrite dans la section Configurer l'authentification externe.

Accéder à la communauté Apigee

La communauté Apigee est une ressource sans frais grâce auquel vous pouvez contacter Apigee, ainsi que d'autres clients Apigee, pour leur poser des questions, demander des conseils et rechercher de l'aide sur d'autres problèmes. Avant de publier dans la communauté, veillez à rechercher d'abord les posts existants pour voir si une question a déjà été traitée.