בקטע הזה מפורטת סקירה כללית על האופן שבו שירותי ספרייה חיצוניים משתלבים עם התקנה קיימת של Apigee Edge להתקנה של ענן פרטי. התכונה הזו מיועדת לפעול עם כל שירות ספריות שתומך ב-LDAP, כמו Active Directory, OpenLDAP ואחרים.
פתרון LDAP חיצוני מאפשר למנהלי מערכת לנהל פרטי כניסה של משתמשים משירות ניהול ספריות מרכזי, מחוץ למערכות כמו Apigee Edge שמשתמשות בהם. התכונה המתוארת במסמך הזה תומכת באימות מחייב ישיר ועקיף.
להוראות מפורטות לגבי הגדרה של שירות ספריות חיצוני, ראו הגדרת אימות חיצוני.
קהל
מסמך זה מתבסס על ההנחה שאתם מנהלי מערכת גלובלית של Apigee Edge עבור ענן פרטי ושיש לך חשבון בשירות הספריות החיצוני.
סקירה כללית
כברירת מחדל, ב-Apigee Edge נעשה שימוש במופע OpenLDAP פנימי כדי לאחסן את פרטי הכניסה שמשמשים לאימות של משתמשים. עם זאת, אפשר להגדיר את Edge לשימוש בשירות LDAP חיצוני לאימות במקום בשירות הפנימי. התהליך של ההגדרה החיצונית הזו מוסבר במסמך הזה.
Edge גם מאחסנת את פרטי הכניסה להרשאה במכונת LDAP פנימית נפרדת. גם אם לא תגדיר שירות אימות חיצוני, פרטי הכניסה להרשאות יישמרו תמיד במופע ה-LDAP הפנימי הזה. התהליך להוספת משתמשים שקיימים במערכת ה-LDAP החיצונית ל-LDAP ההרשאות של Edge מוסבר במסמך הזה.
שים לב שאימות מתייחס לאימות זהות של משתמש, ואילו הרשאה מתייחסת לאימות רמת ההרשאה שהוענקה למשתמש מאומת כדי להשתמש בתכונות של Apigee Edge.
מה צריך לדעת על אימות והרשאה של Edge
כדאי להבין את ההבדל בין אימות להרשאה וכיצד Apigee Edge מנהל את שתי הפעילויות האלה.
מידע על אימות
משתמשים שניגשים ל-Apigee Edge דרך ממשק המשתמש או ממשקי API חייבים לעבור אימות. כברירת מחדל, פרטי הכניסה של משתמש Edge לצורך אימות נשמרים במופע OpenLDAP פנימי. בדרך כלל, משתמשים צריכים להירשם או להתבקש להירשם לחשבון Apigee, ואז הם מספקים את שם המשתמש, כתובת האימייל, פרטי הכניסה לסיסמה ומטא-נתונים נוספים. המידע הזה מאוחסן ומנוהל על ידי שרת ה-LDAP של האימות.
אבל אם רוצים להשתמש ב-LDAP חיצוני כדי לנהל פרטי כניסה של משתמשים בשם Edge, צריך להגדיר את Edge כך שישתמש במערכת ה-LDAP החיצונית במקום במערכת הפנימית. כאשר מוגדר LDAP חיצוני, מתבצע אימות של פרטי הכניסה של המשתמש מול החנות החיצונית הזו, כמו שמוסבר במסמך הזה.
הסבר על ההרשאה
מנהלי ארגוניים של Edge יכולים להעניק למשתמשים הרשאות ספציפיות לאינטראקציה עם ישויות של Apigee Edge כמו שרתי proxy של API, מוצרים, מטמון, פריסות וכו'. ההרשאות מוענקות באמצעות הקצאת תפקידים למשתמשים. Edge כולל כמה תפקידים מובנים. אם צריך, אדמינים ארגוניים יכולים להגדיר תפקידים בהתאמה אישית. לדוגמה, אפשר להעניק למשתמש הרשאה (באמצעות תפקיד) ליצור ולעדכן שרתי proxy של API, אבל לא לפרוס אותם בסביבת ייצור.
פרטי הכניסה המרכזיים שמשמשים את מערכת ההרשאות של Edge הם כתובת האימייל של המשתמש. פרטי הכניסה האלה (יחד עם מטא-נתונים נוספים) מאוחסנים תמיד ב-LDAP ההרשאה הפנימי של Edge. שרת ה-LDAP הזה נפרד לגמרי מ-LDAP האימות (בין אם הוא פנימי או חיצוני).
משתמשים שאומתו באמצעות LDAP חיצוני צריכים גם לקבל הקצאה ידנית של מערכת ה-LDAP. הפרטים מופיעים במסמך הזה.
מידע נוסף על הרשאות ו-RBAC זמין במאמרים ניהול המשתמשים בארגון והקצאת תפקידים.
תוכלו לקרוא גם את המאמר הסבר על תהליכי האימות וההרשאות של Edge.
הסבר על אימות מחייב ישיר ועקיף
תכונת ההרשאות החיצוניות תומכת באימות מחייב ישיר ועקיף דרך מערכת ה-LDAP החיצונית.
סיכום: כדי לאמת קישור עקיף, צריך לחפש ב-LDAP החיצוני פרטי כניסה שתואמים לכתובת האימייל, לשם המשתמש או למזהה אחר שסופק על ידי המשתמש בזמן ההתחברות. כשמשתמשים באימות מחייב ישיר, לא מתבצע חיפוש – פרטי הכניסה נשלחים לשירות ה-LDAP ומאומתים ישירות על ידי השירות. אימות מחייב ישיר נחשב ליעיל יותר כי לא כולל חיפוש.
מידע על אימות מחייב עקיף
באמצעות אימות מחייב עקיף, המשתמש מזין פרטי כניסה, כמו כתובת אימייל, שם משתמש או מאפיין אחר, ו-Edge מחפש את פרטי הכניסה/הערך האלה במערכת האימות. אם תוצאת החיפוש תתבצע בהצלחה, המערכת תשלוף את ה-DNS DN מתוצאות החיפוש ומשתמשת בו עם הסיסמה שסופקה כדי לאמת את המשתמש.
הנקודה העיקרית שיש לדעת היא שאימות מחייב עקיף מחייב מבצע הקריאה (למשל, Apigee Edge) כדי לספק פרטי כניסה של אדמין LDAP חיצוני כדי ש-Edge יוכל 'להתחבר' ל-LDAP החיצוני ולבצע את החיפוש. עליך לספק את פרטי הכניסה האלה בקובץ תצורה של Edge, כפי שמתואר בהמשך המסמך. השלבים שמתוארים גם להצפנת פרטי הכניסה לסיסמה.
מידע על אימות קישור ישיר
באמצעות אימות קישור ישיר, Edge שולח את פרטי הכניסה שהוזנו על ידי המשתמש ישירות למערכת האימות החיצונית. במקרה כזה, לא יתבצע חיפוש במערכת החיצונית. פרטי הכניסה שסופקו מצליחים או נכשלים (למשל, אם המשתמש לא נמצא ב-LDAP החיצוני או שהסיסמה שגויה, ההתחברות תיכשל).
אימות מחייב ישיר לא מחייב אותך להגדיר פרטי כניסה של מנהל מערכת עבור מערכת האימות החיצונית ב-Apigee Edge (כמו באימות מחייב עקיף). עם זאת, יש שלב הגדרה פשוט שעליך לבצע, המתואר במאמר הגדרת אימות חיצוני.
גישה לקהילת Apigee
קהילת Apigee היא משאב חינמי שבו אפשר ליצור קשר עם Apigee ועם לקוחות Apigee אחרים כדי לשאול שאלות, טיפים ובעיות אחרות. לפני פרסום לקהילה, חשוב לחפש קודם פוסטים קיימים כדי לראות אם כבר יש תשובה לשאלה שלך.