ส่วนนี้จะแสดงภาพรวมเกี่ยวกับวิธีที่บริการไดเรกทอรีภายนอกผสานรวมกับ Apigee Edge ที่มีอยู่สำหรับการติดตั้ง Private Cloud ฟีเจอร์นี้ออกแบบมาให้ทำงานกับบริการไดเรกทอรีที่รองรับ LDAP เช่น Active Directory, OpenLDAP และอื่นๆ
โซลูชัน LDAP ภายนอกช่วยให้ผู้ดูแลระบบจัดการข้อมูลเข้าสู่ระบบของผู้ใช้จากบริการจัดการไดเรกทอรีแบบรวมศูนย์ภายนอกระบบอย่างเช่น Apigee Edge ที่นำไปใช้ได้ ฟีเจอร์ที่อธิบายในเอกสารนี้รองรับการตรวจสอบสิทธิ์การเชื่อมโยงทั้งโดยตรงและโดยอ้อม
โปรดดูวิธีการโดยละเอียดเกี่ยวกับการกำหนดค่าบริการไดเรกทอรีภายนอกที่หัวข้อการกำหนดค่าการตรวจสอบสิทธิ์ภายนอก
ผู้ชม
เอกสารนี้จะถือว่าคุณเป็น Apigee Edge สำหรับผู้ดูแลระบบส่วนกลางของ Private Cloud และคุณมีบัญชีบริการไดเรกทอรีภายนอก
ภาพรวม
โดยค่าเริ่มต้น Apigee Edge จะใช้อินสแตนซ์ OpenLDAP ภายในเพื่อจัดเก็บข้อมูลเข้าสู่ระบบที่ใช้สำหรับการตรวจสอบสิทธิ์ผู้ใช้ แต่คุณจะกำหนดค่า Edge ให้ใช้บริการ LDAP สำหรับการตรวจสอบสิทธิ์ภายนอกแทนบริการภายในได้ ขั้นตอนสำหรับการกำหนดค่าภายนอกนี้ได้อธิบายไว้ในเอกสารนี้
Edge ยังจัดเก็บข้อมูลเข้าสู่ระบบสำหรับการให้สิทธิ์ตามบทบาทไว้ในอินสแตนซ์ LDAP ภายในที่แยกต่างหากด้วย ไม่ว่าคุณจะกำหนดค่าบริการการตรวจสอบสิทธิ์ภายนอกหรือไม่ก็ตาม ระบบจะจัดเก็บข้อมูลรับรองการให้สิทธิ์เสมอในอินสแตนซ์ LDAP ภายในนี้ ขั้นตอนการเพิ่มผู้ใช้ที่อยู่ในระบบ LDAP ภายนอกไปยัง LDAP การให้สิทธิ์ Edge มีอธิบายไว้ในเอกสารนี้
โปรดทราบว่าการตรวจสอบสิทธิ์หมายถึงการตรวจสอบข้อมูลประจำตัวของผู้ใช้ ส่วนการให้สิทธิ์หมายถึงการยืนยันระดับของสิทธิ์ที่ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์แล้วได้รับอนุญาตให้ใช้ฟีเจอร์ Apigee Edge
สิ่งที่คุณจำเป็นต้องทราบเกี่ยวกับการตรวจสอบสิทธิ์และการให้สิทธิ์ Edge
คุณควรทำความเข้าใจความแตกต่างระหว่างการตรวจสอบสิทธิ์และการให้สิทธิ์ และวิธีที่ Apigee Edge จัดการ 2 กิจกรรมนี้
เกี่ยวกับการตรวจสอบสิทธิ์
ผู้ใช้ที่เข้าถึง Apigee Edge ผ่าน UI หรือ API จะต้องผ่านการตรวจสอบสิทธิ์ โดยค่าเริ่มต้น ข้อมูลเข้าสู่ระบบของผู้ใช้ Edge สำหรับการตรวจสอบสิทธิ์จะจัดเก็บไว้ในอินสแตนซ์ OpenLDAP ภายใน โดยปกติแล้ว ผู้ใช้ต้องลงทะเบียนหรือได้รับแจ้งให้ลงทะเบียนสำหรับบัญชี Apigee และในเวลานั้นผู้ใช้จะต้องระบุชื่อผู้ใช้ อีเมล ข้อมูลเข้าสู่ระบบสำหรับรหัสผ่าน และข้อมูลเมตาอื่นๆ การตรวจสอบสิทธิ์ LDAP ช่วยเก็บและจัดการข้อมูลนี้
แต่หากต้องการใช้ LDAP ภายนอกเพื่อจัดการข้อมูลเข้าสู่ระบบของผู้ใช้ในนามของ Edge คุณจะทำได้โดยกำหนดค่า Edge ให้ใช้ระบบ LDAP ภายนอกแทนระบบภายใน เมื่อกำหนดค่า LDAP ภายนอกแล้ว ระบบจะตรวจสอบข้อมูลเข้าสู่ระบบของผู้ใช้กับพื้นที่เก็บข้อมูลภายนอกดังกล่าว ตามที่อธิบายไว้ในเอกสารนี้
เกี่ยวกับการให้สิทธิ์
ผู้ดูแลระบบองค์กร Edge จะให้สิทธิ์ที่เฉพาะเจาะจงแก่ผู้ใช้เพื่อโต้ตอบกับเอนทิตี Apigee Edge ได้ เช่น พร็อกซี API, ผลิตภัณฑ์, แคช, การทำให้ใช้งานได้ และอื่นๆ เราจะให้สิทธิ์ต่างๆ ผ่านการมอบหมายบทบาทให้แก่ผู้ใช้ Edge มีบทบาทในตัวหลายบทบาท และผู้ดูแลระบบองค์กรสามารถกำหนดบทบาทที่กำหนดเองได้หากจำเป็น เช่น ผู้ใช้อาจได้รับการให้สิทธิ์ (ผ่านบทบาท) เพื่อสร้างและอัปเดตพร็อกซี API แต่ไม่ได้ทำให้ผู้ใช้ใช้งานได้ในสภาพแวดล้อมการใช้งานจริง
ข้อมูลเข้าสู่ระบบคีย์ที่ใช้โดยระบบการให้สิทธิ์ Edge คืออีเมลของผู้ใช้ ข้อมูลเข้าสู่ระบบนี้ (พร้อมด้วยข้อมูลเมตาอื่นๆ) จะจัดเก็บใน LDAP การให้สิทธิ์ภายในของ Edge เสมอ LDAP นี้จะแยกจาก LDAP การตรวจสอบสิทธิ์ทั้งหมด (ไม่ว่าจะเป็นภายในหรือภายนอก)
ผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ผ่าน LDAP ภายนอกต้องมีการจัดสรรด้วยตนเองเข้าสู่ระบบ LDAP การให้สิทธิ์ เราได้อธิบายรายละเอียดไว้ในเอกสารนี้
หากต้องการทราบข้อมูลพื้นฐานเพิ่มเติมเกี่ยวกับการให้สิทธิ์และ RBAC โปรดดูที่การจัดการผู้ใช้ขององค์กรและการมอบหมายบทบาท
ดูรายละเอียดเพิ่มเติมได้ที่การทำความเข้าใจขั้นตอนการตรวจสอบสิทธิ์และการให้สิทธิ์ Edge
การทำความเข้าใจการตรวจสอบสิทธิ์การเชื่อมโยงทั้งโดยตรงและโดยอ้อม
ฟีเจอร์การให้สิทธิ์ภายนอกรองรับการตรวจสอบสิทธิ์การเชื่อมโยงทั้งโดยตรงและโดยอ้อมผ่านระบบ LDAP ภายนอก
สรุป: การตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อมจะต้องค้นหาใน LDAP ภายนอกเพื่อหาข้อมูลเข้าสู่ระบบที่ตรงกับอีเมล ชื่อผู้ใช้ หรือรหัสอื่นๆ ที่ผู้ใช้ระบุเมื่อเข้าสู่ระบบ ด้วยการตรวจสอบสิทธิ์การเชื่อมโยงโดยตรง ระบบจะไม่ดำเนินการค้นหา โดยระบบจะส่งข้อมูลเข้าสู่ระบบและตรวจสอบโดยบริการ LDAP โดยตรง การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรงถือว่ามีประสิทธิภาพมากกว่าเพราะไม่มีการค้นหามาเกี่ยวข้อง
เกี่ยวกับการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อม
เมื่อใช้การตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อม ผู้ใช้จะป้อนข้อมูลเข้าสู่ระบบ เช่น อีเมล ชื่อผู้ใช้ หรือแอตทริบิวต์อื่นๆ และระบบตรวจสอบสิทธิ์การค้นหา Edge สำหรับข้อมูลเข้าสู่ระบบ/ค่านี้ หากผลการค้นหาสำเร็จ ระบบจะแยก DN ของ LDAP ออกจากผลการค้นหาและใช้ DN ร่วมกับรหัสผ่านที่ระบุในการตรวจสอบสิทธิ์ผู้ใช้
ประเด็นสําคัญที่ต้องรู้คือการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อมจำเป็นต้องให้ผู้โทรเรียกใช้ (เช่น Apigee Edge) เพื่อระบุข้อมูลเข้าสู่ระบบของผู้ดูแลระบบ LDAP ภายนอกเพื่อให้ Edge "เข้าสู่ระบบ" ไปยัง LDAP ภายนอกและดำเนินการค้นหาได้ คุณต้องระบุข้อมูลเข้าสู่ระบบเหล่านี้ในไฟล์การกำหนดค่า Edge ซึ่งจะอธิบายไว้ภายหลังในเอกสารนี้ เราจะอธิบายขั้นตอนสำหรับการเข้ารหัสข้อมูลเข้าสู่ระบบของรหัสผ่านด้วย
เกี่ยวกับการตรวจสอบสิทธิ์การเชื่อมโยงโดยตรง
Edge จะส่งข้อมูลเข้าสู่ระบบที่ผู้ใช้ป้อนไปยังระบบการตรวจสอบสิทธิ์ภายนอกโดยตรงด้วยการตรวจสอบสิทธิ์การเชื่อมโยงโดยตรง ในกรณีนี้ จะไม่มีการค้นหาในระบบภายนอก ข้อมูลเข้าสู่ระบบที่ระบุสำเร็จหรือล้มเหลว (เช่น หากผู้ใช้ไม่อยู่ใน LDAP ภายนอก หรือรหัสผ่านไม่ถูกต้อง การเข้าสู่ระบบจะล้มเหลว)
การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรงไม่ได้กำหนดให้คุณต้องกำหนดค่าข้อมูลเข้าสู่ระบบของผู้ดูแลระบบสำหรับระบบการตรวจสอบสิทธิ์ภายนอกใน Apigee Edge (เช่นเดียวกับการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อม) อย่างไรก็ตาม คุณต้องทำขั้นตอนการกำหนดค่าง่ายๆ ตามที่อธิบายไว้ในการกำหนดค่าการตรวจสอบสิทธิ์ภายนอก
เข้าถึงชุมชน Apigee
ชุมชน Apigee เป็นแหล่งข้อมูลฟรีที่คุณติดต่อ Apigee รวมถึงลูกค้า Apigee คนอื่นๆ ได้หากมีคำถาม เคล็ดลับ และปัญหาอื่นๆ ก่อนโพสต์ลงในชุมชน อย่าลืมค้นหาโพสต์ที่มีอยู่เพื่อดูว่าคำถามได้รับคำตอบแล้วหรือยัง