इस सेक्शन में इस बारे में खास जानकारी दी गई है कि निजी क्लाउड इंस्टॉल करने के लिए, मौजूदा Apigee Edge के साथ बाहरी डायरेक्ट्री की सेवाएं कैसे इंटिग्रेट होती हैं. यह सुविधा, LDAP के साथ काम करने वाली किसी भी डायरेक्ट्री सेवा के साथ काम करने के लिए डिज़ाइन की गई है. जैसे, Active Directory, OpenLDAP वगैरह.
बाहरी LDAP की मदद से सिस्टम एडमिन, एक ही जगह से डायरेक्ट्री मैनेजमेंट सेवा का इस्तेमाल करके उपयोगकर्ताओं के क्रेडेंशियल मैनेज कर सकते हैं. यह सेवा, Apigee Edge जैसे उन सिस्टम से बाहर होती है जो उनका इस्तेमाल करते हैं. इस दस्तावेज़ में बताई गई सुविधा, सीधे तौर पर और इनडायरेक्ट, दोनों तरीकों से पुष्टि करने की सुविधा देती है.
किसी बाहरी डायरेक्ट्री सेवा को कॉन्फ़िगर करने के बारे में ज़्यादा जानकारी के लिए, बाहरी पुष्टि को कॉन्फ़िगर करना देखें.
दर्शक
यह दस्तावेज़ मानता है कि आप Private Cloud ग्लोबल सिस्टम एडमिन के लिए Apigee Edge हैं. साथ ही, आपके पास बाहरी डायरेक्ट्री सेवा का खाता है.
खास जानकारी
डिफ़ॉल्ट रूप से, Apigee Edge, उपयोगकर्ता की पुष्टि करने के लिए इस्तेमाल किए जाने वाले क्रेडेंशियल को सेव करने के लिए, एक इंटरनल OpenLDAP इंस्टेंस का इस्तेमाल करता है. हालांकि, Edge को कॉन्फ़िगर किया जा सकता है, ताकि वह अंदरूनी तौर पर पुष्टि करने वाली LDAP सेवा के बजाय, बाहरी पुष्टि करने वाली LDAP सेवा का इस्तेमाल कर सके. इस दस्तावेज़ में, इस बाहरी कॉन्फ़िगरेशन के बारे में पूरी जानकारी दी गई है.
Edge भी एक अलग अंदरूनी LDAP इंस्टेंस में, भूमिका पर आधारित ऐक्सेस अनुमति देने के क्रेडेंशियल सेव करता है. आप चाहे बाहरी पुष्टि करने की किसी सेवा को कॉन्फ़िगर करें या न करें, अनुमति देने वाले क्रेडेंशियल हमेशा इस अंदरूनी LDAP इंस्टेंस में सेव किए जाते हैं. इस दस्तावेज़ में बाहरी LDAP सिस्टम में मौजूद, Edge की अनुमति वाले LDAP में जोड़ने की प्रोसेस के बारे में बताया गया है.
ध्यान दें कि पुष्टि करने का मतलब उपयोगकर्ता की पहचान की पुष्टि करना है. वहीं, अनुमति देने का मतलब है कि पुष्टि किए गए उपयोगकर्ता को Apigee Edge की सुविधाओं को इस्तेमाल करने के लिए दी गई अनुमति के लेवल की पुष्टि करना.
Edge की पुष्टि करने और अनुमति देने के बारे में आपको क्या पता होना चाहिए
इससे, पुष्टि करने और अनुमति देने के बीच के फ़र्क़ को समझने में मदद मिलती है. साथ ही, यह समझने में मदद मिलती है कि Apigee Edge, इन दोनों गतिविधियों को कैसे मैनेज करता है.
पुष्टि करने के बारे में जानकारी
यूज़र इंटरफ़ेस (यूआई) या एपीआई के ज़रिए, Apigee Edge को ऐक्सेस करने वाले उपयोगकर्ताओं की पुष्टि होना ज़रूरी है. डिफ़ॉल्ट रूप से, पुष्टि करने के लिए Edge उपयोगकर्ता के क्रेडेंशियल, इंटरनल OpenLDAP इंस्टेंस में सेव किए जाते हैं. आम तौर पर, उपयोगकर्ताओं को Apigee खाता रजिस्टर करना होगा या रजिस्टर करने के लिए कहा जाना चाहिए. साथ ही, उस समय वे अपना उपयोगकर्ता नाम, ईमेल पता, पासवर्ड क्रेडेंशियल, और अन्य मेटाडेटा देते हैं. यह जानकारी पुष्टि करने वाले LDAP में सेव और मैनेज की जाती है.
हालांकि, अगर आपको Edge की ओर से उपयोगकर्ता के क्रेडेंशियल मैनेज करने के लिए, बाहरी LDAP का इस्तेमाल करना है, तो Edge को कॉन्फ़िगर करके ऐसा किया जा सकता है, ताकि अंदरूनी LDAP सिस्टम के बजाय बाहरी LDAP सिस्टम का इस्तेमाल किया जा सके. जब किसी बाहरी LDAP को कॉन्फ़िगर किया जाता है, तब उस बाहरी स्टोर के लिए, उपयोगकर्ता के क्रेडेंशियल की पुष्टि की जाती है. इस बारे में इस दस्तावेज़ में बताया गया है.
अनुमति देने के बारे में जानकारी
Edge संगठन के एडमिन, उपयोगकर्ताओं को Apigee Edge की इकाइयों से इंटरैक्ट करने की अनुमति दे सकते हैं. जैसे, एपीआई प्रॉक्सी, प्रॉडक्ट, कैश, डिप्लॉयमेंट वगैरह. उपयोगकर्ताओं को भूमिकाएं असाइन करके, अनुमतियां दी जाती हैं. Edge में कई पहले से मौजूद भूमिकाएं होती हैं. साथ ही, ज़रूरत पड़ने पर संगठन के एडमिन, पसंद के मुताबिक भूमिकाएं तय कर सकते हैं. उदाहरण के लिए, उपयोगकर्ता को एपीआई प्रॉक्सी बनाने और अपडेट करने के लिए, अनुमति (किसी भूमिका के ज़रिए) दी जा सकती है, लेकिन उन्हें प्रोडक्शन एनवायरमेंट में डिप्लॉय करने की अनुमति नहीं दी जा सकती.
Edge ऑथराइज़ेशन सिस्टम जिस मुख्य क्रेडेंशियल का इस्तेमाल करता है वह उपयोगकर्ता का ईमेल पता होता है. इस क्रेडेंशियल (कुछ दूसरे मेटाडेटा के साथ) को हमेशा Edge की अनुमति वाले एलडीएपी में सेव किया जाता है. यह LDAP पुष्टि करने वाले LDAP (चाहे अंदरूनी या बाहरी) से पूरी तरह अलग हो.
जिन उपयोगकर्ताओं की पुष्टि बाहरी LDAP के ज़रिए की गई है उन्हें भी ऑथराइज़ेशन LDAP सिस्टम में मैन्युअल रूप से प्रावधान किया जाना चाहिए. इस दस्तावेज़ में, इसकी पूरी जानकारी दी गई है.
अनुमति देने और आरबीएसी के बारे में ज़्यादा जानने के लिए, संगठन के उपयोगकर्ताओं को मैनेज करना और भूमिकाएं असाइन करना देखें.
ज़्यादा जानकारी के लिए, Edge की पुष्टि करने और ऑथराइज़ेशन फ़्लो को समझना भी देखें.
डायरेक्ट और इनडायरेक्ट बाइंडिंग ऑथेंटिकेशन को समझना
अनुमति देने वाली बाहरी सुविधा, बाहरी एलडीएपी सिस्टम के ज़रिए डायरेक्ट और अप्रत्यक्ष, दोनों बाइंडिंग पुष्टि के साथ काम करती है.
खास जानकारी: इनडायरेक्ट बाइंडिंग की पुष्टि करने के लिए, बाहरी LDAP पर उन क्रेडेंशियल की खोज करने की ज़रूरत होती है जो लॉगिन के समय, उपयोगकर्ता से मिले ईमेल पते, उपयोगकर्ता नाम या अन्य आईडी से मेल खाते हैं. डायरेक्ट बाइंडिंग पुष्टि के साथ, कोई खोज नहीं की जाती है-- क्रेडेंशियल सीधे LDAP सेवा को भेजे जाते हैं और उसकी पुष्टि की जाती है. डायरेक्ट बाइंडिंग ऑथेंटिकेशन को ज़्यादा असरदार माना जाता है, क्योंकि इसमें कोई खोज करने की ज़रूरत नहीं होती.
इनडायरेक्ट बाइंडिंग ऑथेंटिकेशन के बारे में जानकारी
इनडायरेक्ट बाइंडिंग ऑथेंटिकेशन के साथ, उपयोगकर्ता कोई क्रेडेंशियल (जैसे, ईमेल पता, उपयोगकर्ता नाम या कोई दूसरा एट्रिब्यूट) डालता है. इसके बाद, वह Edge पर इस क्रेडेंशियल/वैल्यू के लिए, पुष्टि करने वाला सिस्टम खोजता है. खोज का नतीजा मिलने पर, सिस्टम, खोज के नतीजों से LDAP डीएन निकालता है और उपयोगकर्ता की पुष्टि करने के लिए, उसे दिए गए पासवर्ड के साथ इस्तेमाल करता है.
अहम बात यह है कि इनडायरेक्ट बाइंडिंग ऑथेंटिकेशन के लिए कॉलर की ज़रूरत होती है (उदाहरण के लिए, Apigee Edge) की मदद से, बाहरी LDAP एडमिन क्रेडेंशियल उपलब्ध कराए जा सकते हैं. इससे Edge, बाहरी LDAP में "लॉग इन" कर सकता है और खोज कर सकता है. आपको ये क्रेडेंशियल किसी Edge कॉन्फ़िगरेशन फ़ाइल में देने होंगे, जिसके बारे में इस दस्तावेज़ में बाद में बताया गया है. पासवर्ड क्रेडेंशियल को एन्क्रिप्ट (सुरक्षित) करने का तरीका भी बताया गया है.
डायरेक्ट बाइंडिंग ऑथेंटिकेशन के बारे में जानकारी
डायरेक्ट बाइंडिंग ऑथेंटिकेशन की मदद से, Edge उपयोगकर्ता के डाले गए क्रेडेंशियल को सीधे बाहरी ऑथेंटिकेशन सिस्टम को भेजता है. इस स्थिति में, बाहरी सिस्टम पर कोई खोज नहीं की जाती. दिए गए क्रेडेंशियल कामयाब हो गए हैं या वे फ़ेल हो गए हैं (उदाहरण के लिए, अगर उपयोगकर्ता बाहरी LDAP में मौजूद नहीं है या पासवर्ड गलत है, तो लॉगिन नहीं किया जा सकेगा).
डायरेक्ट बाइंडिंग ऑथेंटिकेशन के लिए आपको Apigee Edge में बाहरी पुष्टि करने वाले सिस्टम के लिए, एडमिन क्रेडेंशियल कॉन्फ़िगर करने की ज़रूरत नहीं होती है. हालांकि, आपको कॉन्फ़िगरेशन का एक आसान चरण पूरा करना होगा, जो बाहरी ऑथेंटिकेशन को कॉन्फ़िगर करना में बताया गया है.
Apigee समुदाय को ऐक्सेस करना
Apigee कम्यूनिटी, बिना किसी शुल्क के उपलब्ध संसाधन है. यहां Apigee के साथ-साथ, अन्य Apigee ग्राहकों से संपर्क किया जा सकता है. इन ग्राहकों में, सवाल, सलाह, और अन्य समस्याओं की जानकारी शामिल होती है. कम्यूनिटी में पोस्ट करने से पहले, मौजूदा पोस्ट ज़रूर खोजें. इससे यह पता चल जाएगा कि आपके सवाल का जवाब पहले ही दिया जा चुका है या नहीं.