Bagian ini memberikan ringkasan tentang cara layanan direktori eksternal terintegrasi dengan Apigee Edge yang sudah ada untuk penginstalan Private Cloud. Fitur ini dirancang agar berfungsi dengan layanan direktori apa pun yang mendukung LDAP, seperti Active Directory, OpenLDAP, dan lainnya.
Solusi LDAP eksternal memungkinkan administrator sistem mengelola kredensial pengguna dari layanan pengelolaan direktori terpusat, di luar sistem seperti Apigee Edge yang menggunakannya. Fitur yang dijelaskan dalam dokumen ini mendukung autentikasi binding langsung dan tidak langsung.
Untuk petunjuk terperinci tentang cara mengonfigurasi layanan direktori eksternal, lihat Mengonfigurasi autentikasi eksternal.
Audiens
Dokumen ini mengasumsikan bahwa Anda adalah Apigee Edge untuk administrator sistem global Private Cloud dan memiliki akun layanan direktori eksternal.
Ringkasan
Secara default, Apigee Edge menggunakan instance OpenLDAP internal untuk menyimpan kredensial yang digunakan untuk autentikasi pengguna. Namun, Anda dapat mengonfigurasi Edge untuk menggunakan layanan LDAP autentikasi eksternal, bukan layanan internal. Prosedur untuk konfigurasi eksternal ini dijelaskan dalam dokumen ini.
Edge juga menyimpan kredensial otorisasi akses berbasis peran dalam instance LDAP internal yang terpisah. Terlepas dari apakah Anda mengonfigurasi layanan autentikasi eksternal atau tidak, kredensial otorisasi selalu disimpan dalam instance LDAP internal ini. Prosedur untuk menambahkan pengguna yang ada dalam sistem LDAP eksternal ke LDAP otorisasi Edge dijelaskan dalam dokumen ini.
Perhatikan bahwa autentikasi mengacu pada validasi identitas pengguna, sedangkan otorisasi mengacu pada verifikasi tingkat izin yang diberikan kepada pengguna terautentikasi untuk menggunakan fitur Apigee Edge.
Yang perlu Anda ketahui tentang autentikasi dan otorisasi Edge
Anda perlu memahami perbedaan antara autentikasi dan otorisasi serta cara Apigee Edge mengelola kedua aktivitas ini.
Tentang autentikasi
Pengguna yang mengakses Apigee Edge baik melalui UI atau API harus diautentikasi. Secara default, kredensial pengguna Edge untuk autentikasi disimpan dalam instance OpenLDAP internal. Biasanya, pengguna harus mendaftar atau diminta untuk mendaftar akun Apigee, dan pada saat itu mereka memberikan nama pengguna, alamat email, kredensial sandi, serta metadata lainnya. Informasi ini disimpan dan dikelola oleh LDAP autentikasi.
Namun, jika ingin menggunakan LDAP eksternal untuk mengelola kredensial pengguna atas nama Edge, Anda dapat melakukannya dengan mengonfigurasi Edge untuk menggunakan sistem LDAP eksternal, bukan sistem internal. Saat LDAP eksternal dikonfigurasi, kredensial pengguna divalidasi terhadap penyimpanan eksternal tersebut, seperti yang dijelaskan dalam dokumen ini.
Tentang otorisasi
Administrator organisasi edge dapat memberikan izin khusus kepada pengguna untuk berinteraksi dengan entitas Apigee Edge seperti proxy API, produk, cache, deployment, dan sebagainya. Izin diberikan melalui penetapan peran kepada pengguna. Edge menyertakan beberapa peran bawaan, dan, jika diperlukan, administrator org dapat menentukan peran khusus. Misalnya, pengguna dapat diberi otorisasi (melalui peran) untuk membuat dan mengupdate proxy API, tetapi tidak untuk men-deploy-nya ke lingkungan produksi.
Kredensial kunci yang digunakan oleh sistem otorisasi Edge adalah alamat email pengguna. Kredensial ini (beserta beberapa metadata lainnya) selalu disimpan di LDAP otorisasi internal Edge. LDAP ini sepenuhnya terpisah dari LDAP autentikasi (baik internal maupun eksternal).
Pengguna yang diautentikasi melalui LDAP eksternal juga harus disediakan secara manual ke dalam sistem LDAP otorisasi. Detail dijelaskan dalam dokumen ini.
Untuk latar belakang selengkapnya tentang otorisasi dan RBAC, lihat Mengelola pengguna organisasi dan Menetapkan peran.
Untuk penjelasan yang lebih mendalam, lihat juga Memahami alur autentikasi dan otorisasi Edge.
Memahami autentikasi binding langsung dan tidak langsung
Fitur otorisasi eksternal mendukung autentikasi binding langsung dan tidak langsung melalui sistem LDAP eksternal.
Ringkasan: Autentikasi binding tidak langsung memerlukan penelusuran di LDAP eksternal untuk kredensial yang cocok dengan alamat email, nama pengguna, atau ID lain yang diberikan oleh pengguna saat login. Dengan autentikasi binding langsung, tidak ada penelusuran yang dilakukan--kredensial dikirim ke dan divalidasi oleh layanan LDAP secara langsung. Autentikasi binding langsung dianggap lebih efisien karena tidak melibatkan penelusuran.
Tentang autentikasi binding tidak langsung
Dengan autentikasi binding tidak langsung, pengguna memasukkan kredensial, seperti alamat email, nama pengguna, atau beberapa atribut lainnya, dan Edge akan menelusuri sistem autentikasi untuk kredensial/nilai ini. Jika hasil penelusuran berhasil, sistem akan mengekstrak DN LDAP dari hasil penelusuran dan menggunakannya dengan sandi yang diberikan untuk mengautentikasi pengguna.
Poin utama yang perlu diketahui adalah bahwa autentikasi binding tidak langsung memerlukan pemanggil (mis., Apigee Edge) untuk memberikan kredensial admin LDAP eksternal sehingga Edge dapat "login" ke LDAP eksternal dan melakukan penelusuran. Anda harus memberikan kredensial ini dalam file konfigurasi Edge, yang akan dijelaskan nanti dalam dokumen ini. Langkah-langkah juga dijelaskan untuk mengenkripsi kredensial sandi.
Tentang autentikasi binding langsung
Dengan autentikasi binding langsung, Edge mengirimkan kredensial yang dimasukkan oleh pengguna langsung ke sistem autentikasi eksternal. Dalam hal ini, tidak ada penelusuran yang dilakukan di sistem eksternal. Kredensial yang diberikan berhasil atau gagal (misalnya, jika pengguna tidak ada di LDAP eksternal atau jika sandi salah, login akan gagal).
Autentikasi binding langsung tidak mengharuskan Anda mengonfigurasi kredensial admin untuk sistem autentikasi eksternal di Apigee Edge (seperti autentikasi binding tidak langsung). Namun, ada langkah konfigurasi sederhana yang harus Anda lakukan, yang dijelaskan dalam Mengonfigurasi autentikasi eksternal.
Akses komunitas Apigee
Komunitas Apigee adalah referensi gratis yang dapat Anda gunakan untuk menghubungi Apigee serta pelanggan Apigee lainnya jika ada pertanyaan, tips, dan masalah lainnya. Sebelum memposting ke komunitas, pastikan Anda menelusuri postingan yang ada terlebih dahulu untuk melihat apakah pertanyaan Anda telah dijawab.