W tej sekcji znajdziesz omówienie sposobu integracji zewnętrznych usług katalogowych z istniejącą instalacją Apigee Edge dla Private Cloud. Ta funkcja działa z każdą usługą katalogową obsługującą LDAP, na przykład Active Directory czy OpenLDAP.
Zewnętrzne rozwiązanie LDAP umożliwia administratorom systemu zarządzanie danymi logowania użytkowników za pomocą scentralizowanej usługi zarządzania katalogami. Nie dotyczy to systemów, które z nich korzystają, takich jak Apigee Edge. Funkcja opisana w tym dokumencie obsługuje uwierzytelnianie zarówno bezpośrednie, jak i pośrednie.
Szczegółowe instrukcje konfigurowania zewnętrznej usługi katalogowej znajdziesz w artykule o konfigurowaniu uwierzytelniania zewnętrznego.
Odbiorcy
W tym dokumencie zakładamy, że jesteś administratorem globalnego systemu Apigee Edge for Private Cloud i masz konto zewnętrznej usługi katalogowej.
Przegląd
Domyślnie Apigee Edge używa wewnętrznej instancji OpenLDAP do przechowywania danych logowania używanych do uwierzytelniania użytkowników. Możesz jednak skonfigurować Edge, aby używać zewnętrznej usługi LDAP do uwierzytelniania zamiast usługi wewnętrznej. Procedura dla tej konfiguracji zewnętrznej została omówiona w tym dokumencie.
Edge przechowuje też dane logowania na podstawie ról w oddzielnej wewnętrznej instancji LDAP. Niezależnie od tego, czy skonfigurujesz zewnętrzną usługę uwierzytelniania, dane logowania autoryzacji są zawsze przechowywane w tej wewnętrznej instancji LDAP. Procedura dodawania użytkowników istniejących w zewnętrznym systemie LDAP do LDAP autoryzacji Edge została omówiona w tym dokumencie.
Pamiętaj, że uwierzytelnianie odnosi się do weryfikowania tożsamości użytkownika, a autoryzacja do weryfikacji poziomu uprawnień uwierzytelnionego użytkownika do korzystania z funkcji Apigee Edge.
Co musisz wiedzieć o uwierzytelnianiu i autoryzacji brzegowej
Warto poznać różnicę między uwierzytelnianiem a autoryzacją oraz zrozumieć, jak Apigee Edge zarządza tymi 2 działaniami.
Informacje o uwierzytelnianiu
Użytkownicy, którzy uzyskują dostęp do Apigee Edge przez interfejs użytkownika lub interfejsy API, muszą być uwierzytelnieni. Domyślnie dane logowania użytkownika Edge na potrzeby uwierzytelniania są przechowywane w wewnętrznej instancji OpenLDAP. Zwykle użytkownicy muszą zarejestrować się w celu założenia konta Apigee lub zostać poproszeni o założenie konta i wtedy muszą podać nazwę użytkownika, adres e-mail, dane logowania do hasła i inne metadane. Te informacje są przechowywane w LDAP uwierzytelniania i zarządzane przez niego.
Jeśli jednak chcesz używać zewnętrznego systemu LDAP do zarządzania danymi logowania użytkowników w imieniu Edge, możesz to zrobić, konfigurując Edge w taki sposób, aby używał zewnętrznego systemu LDAP, a nie wewnętrznego systemu LDAP. Po skonfigurowaniu zewnętrznego serwera LDAP dane logowania użytkowników są sprawdzane w odniesieniu do tego magazynu zewnętrznego zgodnie z tym dokumentem.
Informacje o autoryzacji
Administratorzy organizacji brzegowej mogą przyznawać użytkownikom określone uprawnienia do korzystania z encji Apigee Edge, takich jak serwery proxy interfejsów API, usługi, pamięci podręczne, wdrożenia itp. Uprawnienia są przyznawane przez przypisanie ról do użytkowników. Edge ma kilka wbudowanych ról, a w razie potrzeby administratorzy organizacji mogą definiować role niestandardowe. Użytkownik może na przykład otrzymać autoryzację (za pomocą roli) do tworzenia i aktualizowania serwerów proxy interfejsu API, ale nie do wdrażania ich w środowisku produkcyjnym.
Kluczowe dane logowania używane przez system autoryzacji Edge to adres e-mail użytkownika. Te dane logowania (wraz z innymi metadanymi) są zawsze przechowywane w wewnętrznym LDAP autoryzacji Edge. Ten LDAP jest całkowicie niezależny od uwierzytelniania LDAP (wewnętrznego i zewnętrznego).
Użytkownicy uwierzytelnieni przy użyciu zewnętrznego protokołu LDAP muszą również ręcznie otrzymać dostęp do systemu autoryzacji LDAP. Szczegółowe informacje znajdziesz w tym dokumencie.
Więcej informacji na temat autoryzacji i RBAC znajdziesz w sekcjach Zarządzanie użytkownikami organizacji i Przypisywanie ról.
Aby dowiedzieć się więcej, zobacz też Omówienie przepływów uwierzytelniania Edge i autoryzacji.
Omówienie uwierzytelniania bezpośredniego i pośredniego powiązania
Funkcja autoryzacji zewnętrznej obsługuje uwierzytelnianie bezpośrednie i pośrednie przy użyciu zewnętrznego systemu LDAP.
Podsumowanie: uwierzytelnianie wiązania pośredniego wymaga wyszukania w zewnętrznym katalogu LDAP danych logowania, które odpowiadają adresowi e-mail, nazwie użytkownika lub innym identyfikatorom podanym przez użytkownika podczas logowania. W przypadku uwierzytelniania bezpośredniego powiązania żadne wyszukiwanie nie jest wykonywane – dane logowania są wysyłane bezpośrednio do usługi LDAP i przez nią sprawdzane. Uwierzytelnianie związane z bezpośrednim wiązaniem jest uważane za wydajniejsze, ponieważ nie wymaga wyszukiwania.
Uwierzytelnianie na podstawie powiązań pośrednich
W przypadku uwierzytelniania z wiązaniem pośrednim użytkownik wpisuje dane logowania, takie jak adres e-mail, nazwa użytkownika lub inny atrybut, a następnie podaje je w systemie uwierzytelniania Edge. Jeśli wyszukiwanie zakończy się powodzeniem, system wyodrębni z wyników wyszukiwania nazwę wyróżniającą LDAP i użyje jej do uwierzytelnienia użytkownika.
Pamiętaj, że uwierzytelnianie związane z pośrednim wiązaniem wymaga obiektu wywołującego (np. Apigee Edge), aby udostępnić zewnętrzne dane logowania administratora LDAP, aby Edge mogła zalogować się do zewnętrznego LDAP i przeprowadzić wyszukiwanie. Dane logowania musisz podać w pliku konfiguracji Edge, który został opisany w dalszej części tego dokumentu. Opisano też kroki szyfrowania danych logowania do hasła.
Uwierzytelnianie związane z bezpośrednim wiązaniem
W przypadku uwierzytelniania bezpośredniego powiązania Edge wysyła dane logowania wpisane przez użytkownika bezpośrednio do zewnętrznego systemu uwierzytelniania. W takim przypadku nie przeprowadzasz wyszukiwania w systemie zewnętrznym. Podane dane logowania zakończą się powodzeniem albo niepowodzeniem (np. jeśli użytkownika nie ma w zewnętrznym LDAP lub jeśli hasło jest nieprawidłowe, logowanie się nie powiedzie).
Uwierzytelnianie bezpośredniego powiązania nie wymaga konfigurowania danych logowania administratora zewnętrznego systemu uwierzytelniania w Apigee Edge (tak jak w przypadku uwierzytelniania powiązania pośredniego). Musisz jednak wykonać prosty krok konfiguracji. Instrukcje znajdziesz w sekcji Konfigurowanie uwierzytelniania zewnętrznego.
Dostęp do społeczności Apigee
Społeczność Apigee to bezpłatne zasoby, dzięki którym możesz kontaktować się z Apigee, a także innymi klientami Apigee, odpowiadając na pytania, wskazówki i inne problemy. Zanim zamieścisz post w społeczności, najpierw przeszukaj dotychczasowe posty, żeby sprawdzić, czy nie ma już odpowiedzi na Twoje pytanie.