Bu bölümde, harici dizin hizmetlerinin mevcut bir Private Cloud için Apigee Edge kurulumuyla nasıl entegre olduğuna dair genel bir bakış sunulmaktadır. Bu özellik Active Directory, OpenLDAP gibi LDAP'yi destekleyen tüm dizin hizmetleriyle çalışacak şekilde tasarlanmıştır.
Harici bir LDAP çözümü, sistem yöneticilerinin kullanıcı kimlik bilgilerini bunları kullanan Apigee Edge gibi sistemlerin dışındaki merkezi bir dizin yönetimi hizmetinden yönetmesine olanak tanır. Bu belgede açıklanan özellik, hem doğrudan hem de dolaylı bağlama kimlik doğrulamasını destekler.
Harici dizin hizmetinin yapılandırılmasıyla ilgili ayrıntılı talimatlar için Harici kimlik doğrulamasını yapılandırma sayfasını inceleyin.
Kitle
Bu belgede, Private Cloud için Apigee Edge küresel sistem yöneticisi olduğunuz ve harici dizin hizmetinde hesabınız olduğu varsayılmıştır.
Genel bakış
Apigee Edge, varsayılan olarak kullanıcı kimlik doğrulaması için kullanılan kimlik bilgilerini depolamak üzere dahili bir OpenLDAP örneği kullanır. Ancak Edge'i dahili kimlik yerine harici kimlik doğrulama LDAP hizmeti kullanacak şekilde yapılandırabilirsiniz. Bu harici yapılandırmaya ilişkin prosedür bu dokümanda açıklanmıştır.
Edge, rol tabanlı erişim yetkilendirme kimlik bilgilerini de ayrı bir dahili LDAP örneğinde depolar. Harici bir kimlik doğrulama hizmeti yapılandırsanız da yapılandırmasanız da yetkilendirme kimlik bilgileri her zaman bu dahili LDAP örneğinde depolanır. Harici LDAP sistemindeki kullanıcıları Edge yetkilendirme LDAP'ye ekleme prosedürü bu dokümanda açıklanmıştır.
Kimlik doğrulama, kullanıcı kimliğinin doğrulanması anlamına gelirken yetkilendirme, kimliği doğrulanmış bir kullanıcıya Apigee Edge özelliklerini kullanmak için verilen izin düzeyinin doğrulanması anlamına gelir.
Edge kimlik doğrulama ve yetkilendirme hakkında bilmeniz gerekenler
Kimlik doğrulama ile yetkilendirme arasındaki farkı ve Apigee Edge'in bu iki etkinliği nasıl yönettiğini anlamak faydalıdır.
Kimlik doğrulama hakkında
Apigee Edge'e kullanıcı arayüzü veya API'lerle erişen kullanıcıların kimliği doğrulanmalıdır. Varsayılan olarak, kimlik doğrulama için Edge kullanıcı kimlik bilgileri dahili bir OpenLDAP örneğinde depolanır. Tipik olarak, kullanıcıların Apigee hesabına kaydolması veya bu hesaba kaydolmalarının istenmesi gerekir. Kullanıcılar bu sırada kullanıcı adlarını, e-posta adreslerini, şifre kimlik bilgilerini ve diğer meta verilerini sağlarlar. Bu bilgiler kimlik doğrulama LDAP'sinde saklanır ve yönetilir.
Ancak, kullanıcı kimlik bilgilerini Edge adına yönetmek için harici bir LDAP kullanmak isterseniz Edge'i dahili sistem yerine harici LDAP sistemini kullanacak şekilde yapılandırarak bunu yapabilirsiniz. Harici bir LDAP yapılandırıldığında, kullanıcı kimlik bilgileri bu dokümanda açıklandığı gibi söz konusu harici mağazaya göre doğrulanır.
Yetkilendirme hakkında
Edge kuruluş yöneticileri; kullanıcılara API proxy'si, ürünler, önbellekler, dağıtımlar gibi Apigee Edge varlıklarıyla etkileşim kurmaları için belirli izinler verebilir. İzinler, kullanıcılara roller atanarak verilir. Edge'de çeşitli yerleşik roller vardır ve gerekirse kuruluş yöneticileri özel roller tanımlayabilir. Örneğin, bir kullanıcıya API proxy'leri oluşturma ve güncelleme yetkisi verilebilir ancak bu yetkileri üretim ortamına dağıtılamaz.
Edge yetkilendirme sistemi tarafından kullanılan anahtar kimlik bilgileri kullanıcının e-posta adresidir. Bu kimlik bilgisi (diğer meta verilerle birlikte) her zaman Edge'in dahili yetkilendirme LDAP'sinde saklanır. Bu LDAP, kimlik doğrulama LDAP'sinden (dahili veya harici) tamamen ayrıdır.
Harici bir LDAP aracılığıyla kimliği doğrulanan kullanıcıların yetkilendirme LDAP sistemine manuel olarak sağlanması da gerekir. Ayrıntılar bu dokümanda açıklanmaktadır.
Yetkilendirme ve RBAC hakkında daha fazla bilgi için Kuruluş kullanıcılarını yönetme ve Rol atama başlıklı makaleleri inceleyin.
Daha ayrıntılı bilgi için Edge kimlik doğrulama ve yetkilendirme akışlarını anlama sayfasına da göz atın.
Doğrudan ve dolaylı bağlayıcı kimlik doğrulamasını anlama
Harici yetkilendirme özelliği, harici LDAP sistemi üzerinden hem doğrudan hem de dolaylı bağlama kimlik doğrulamasını destekler.
Özet: Dolaylı bağlama kimlik doğrulaması, kullanıcının giriş sırasında sağladığı e-posta adresi, kullanıcı adı veya diğer kimlikle eşleşen kimlik bilgileri için harici LDAP'de arama yapılmasını gerektirir. Doğrudan bağlama kimlik doğrulaması ile arama gerçekleştirilmez. Kimlik bilgileri doğrudan LDAP hizmetine gönderilir ve bu hizmet tarafından doğrulanır. Doğrudan bağlama kimlik doğrulaması, herhangi bir arama yapmadığından daha verimli olarak değerlendirilir.
Dolaylı bağlama kimlik doğrulaması hakkında
Dolaylı bağlama kimlik doğrulamasında kullanıcı; e-posta adresi, kullanıcı adı veya başka bir özellik gibi bir kimlik bilgisi girer ve Edge, bu kimlik bilgisi/değeri için kimlik doğrulama sisteminde arama yapar. Arama sonucu başarılı olursa sistem, arama sonuçlarından LDAP DN'sini çıkarır ve bu DN'yi, kullanıcının kimliğini doğrulamak için sağlanan bir şifreyle kullanır.
Bilinmesi gereken en önemli nokta, dolaylı bağlama kimlik doğrulamasının arayan (ör. Apigee Edge) kullanarak harici LDAP yöneticisi kimlik bilgilerini sağlayabilir. Bu kimlik bilgilerini, bu dokümanın ilerleyen kısımlarında açıklanan bir Edge yapılandırma dosyasında sağlamanız gerekir. Şifre kimlik bilgilerini şifrelemeyle ilgili adımlar da açıklanmaktadır.
Doğrudan bağlama kimlik doğrulaması hakkında
Doğrudan bağlama kimlik doğrulaması sayesinde Edge, kullanıcı tarafından girilen kimlik bilgilerini doğrudan harici kimlik doğrulama sistemine gönderir. Bu durumda, harici sistemde hiçbir arama gerçekleştirilmez. Sağlanan kimlik bilgileri başarılı olur veya başarısız olur (ör. kullanıcı harici LDAP'de yoksa veya şifre yanlışsa giriş işlemi başarısız olur).
Doğrudan bağlama kimlik doğrulaması, Apigee Edge'deki harici kimlik doğrulama sistemi için yönetici kimlik bilgilerini yapılandırmanıza gerek yoktur (dolaylı bağlama kimlik doğrulamasında olduğu gibi) ancak Harici kimlik doğrulamasını yapılandırma bölümünde açıklanan basit bir yapılandırma adımını uygulamanız gerekir.
Apigee topluluğuna erişme
Apigee Topluluğu, Apigee'nin yanı sıra diğer Apigee müşterileri ile soru, ipucu ve diğer sorunlarla ilgili iletişime geçebileceğiniz ücretsiz bir kaynaktır. Topluluğa yayın göndermeden önce, sorunuzun önceden cevaplanmış olup olmadığını görmek için ilk olarak mevcut yayınlarda arama yapın.