Phần này cung cấp thông tin tổng quan về cách các dịch vụ thư mục bên ngoài tích hợp với Apigee Edge đã được cài đặt để cài đặt trên đám mây riêng tư. Tính năng này được thiết kế để hoạt động với mọi dịch vụ thư mục hỗ trợ LDAP, chẳng hạn như Active Directory, OpenLDAP và các dịch vụ khác.
Một giải pháp LDAP bên ngoài cho phép quản trị viên hệ thống quản lý thông tin đăng nhập của người dùng từ một dịch vụ quản lý thư mục tập trung, ngoài những hệ thống như Apigee Edge sử dụng các thông tin này. Tính năng được mô tả trong tài liệu này hỗ trợ cả phương thức xác thực liên kết trực tiếp và gián tiếp.
Để biết hướng dẫn chi tiết về cách định cấu hình dịch vụ thư mục bên ngoài, hãy xem phần Định cấu hình xác thực bên ngoài.
Đối tượng người xem
Tài liệu này giả định rằng bạn là một quản trị viên hệ thống toàn cầu của Apigee dành cho đám mây và bạn có một tài khoản sử dụng dịch vụ thư mục bên ngoài.
Tổng quan
Theo mặc định, Apigee Edge sử dụng một thực thể OpenLDAP nội bộ để lưu trữ thông tin xác thực được dùng để xác thực người dùng. Tuy nhiên, bạn có thể định cấu hình Edge để sử dụng một dịch vụ LDAP xác thực bên ngoài thay vì dịch vụ nội bộ. Quy trình cho cấu hình bên ngoài này được giải thích trong tài liệu này.
Edge cũng lưu trữ thông tin xác thực uỷ quyền truy cập dựa trên vai trò trong một thực thể LDAP nội bộ riêng biệt. Dù bạn có định cấu hình một dịch vụ xác thực bên ngoài hay không, thông tin xác thực uỷ quyền luôn được lưu trữ trong phiên bản LDAP nội bộ này. Tài liệu này giải thích quy trình thêm người dùng có trong hệ thống LDAP bên ngoài vào LDAP cho phép uỷ quyền cho Edge.
Xin lưu ý rằng quy trình xác thực là xác thực danh tính của người dùng, còn quy trình uỷ quyền là xác minh cấp độ quyền mà một người dùng đã xác thực được cấp để sử dụng các tính năng của Apigee Edge.
Những điều bạn cần biết về xác thực và uỷ quyền Edge
Bạn nên nắm được sự khác biệt giữa xác thực và uỷ quyền, cũng như cách Apigee Edge quản lý 2 hoạt động này.
Giới thiệu về quy trình xác thực
Người dùng truy cập vào Apigee Edge thông qua giao diện người dùng hoặc API đều phải được xác thực. Theo mặc định, thông tin xác thực của người dùng Edge để xác thực được lưu trữ trong thực thể OpenLDAP nội bộ. Thông thường, người dùng phải đăng ký hoặc được yêu cầu đăng ký tài khoản Apigee. Khi đó, họ phải cung cấp tên người dùng, địa chỉ email, thông tin đăng nhập mật khẩu và siêu dữ liệu khác. Thông tin này được lưu trữ và quản lý bằng LDAP xác thực.
Tuy nhiên, nếu muốn sử dụng một LDAP bên ngoài để quản lý thông tin đăng nhập của người dùng thay cho Edge, bạn có thể thực hiện bằng cách định cấu hình Edge để sử dụng hệ thống LDAP bên ngoài thay vì hệ thống nội bộ. Khi một LDAP bên ngoài được định cấu hình, thông tin xác thực của người dùng sẽ được xác thực so với kho lưu trữ bên ngoài đó, như giải thích trong tài liệu này.
Giới thiệu về việc uỷ quyền
Quản trị viên của tổ chức ở Edge có thể cấp các quyền cụ thể cho người dùng để tương tác với các thực thể của Apigee Edge, chẳng hạn như proxy API, sản phẩm, bộ nhớ đệm, hoạt động triển khai, v.v. Quyền được cấp thông qua việc chỉ định vai trò cho người dùng. Edge có một số vai trò tích hợp sẵn và quản trị viên tổ chức có thể xác định các vai trò tuỳ chỉnh nếu cần. Ví dụ: người dùng có thể được cấp quyền (thông qua vai trò) để tạo và cập nhật proxy API, nhưng không thể triển khai các proxy này trong môi trường phát hành chính thức.
Thông tin đăng nhập khoá mà hệ thống uỷ quyền Edge sử dụng là địa chỉ email của người dùng. Thông tin xác thực này (cùng với một số siêu dữ liệu khác) luôn được lưu trữ trong LDAP uỷ quyền nội bộ của Edge. LDAP này hoàn toàn tách biệt với LDAP xác thực (cho dù là nội bộ hay bên ngoài).
Người dùng được xác thực qua một LDAP bên ngoài cũng phải được cấp phép theo cách thủ công vào hệ thống LDAP cấp quyền. Thông tin chi tiết được giải thích trong tài liệu này.
Để biết thêm thông tin cơ bản về việc uỷ quyền và RBAC, hãy xem phần Quản lý người dùng của tổ chức và Chỉ định vai trò.
Để hiểu rõ hơn, hãy xem thêm bài viết Tìm hiểu về quy trình xác thực và uỷ quyền của Edge.
Tìm hiểu về phương thức xác thực liên kết trực tiếp và gián tiếp
Tính năng uỷ quyền bên ngoài hỗ trợ cả phương thức xác thực liên kết trực tiếp và gián tiếp thông qua hệ thống LDAP bên ngoài.
Tóm tắt: Quy trình xác thực liên kết gián tiếp yêu cầu tìm kiếm thông tin đăng nhập khớp với địa chỉ email, tên người dùng hoặc mã nhận dạng khác trên Giao thức truy cập thư mục hạng nhẹ (LDAP) bên ngoài khi họ đăng nhập. Với phương thức xác thực liên kết trực tiếp, không có hoạt động tìm kiếm nào được thực hiện--thông tin xác thực được gửi trực tiếp đến và xác thực bởi dịch vụ LDAP. Phương pháp xác thực liên kết trực tiếp được coi là hiệu quả hơn vì không cần tìm kiếm.
Giới thiệu về phương thức xác thực liên kết gián tiếp
Với phương thức xác thực liên kết gián tiếp, người dùng nhập thông tin đăng nhập (chẳng hạn như địa chỉ email, tên người dùng hoặc một số thuộc tính khác) và hệ thống xác thực tìm kiếm Edge cho thông tin đăng nhập/giá trị này. Nếu kết quả tìm kiếm thành công, hệ thống sẽ trích xuất DN của LDAP từ kết quả tìm kiếm và sử dụng LDAP DN này với mật khẩu đã cung cấp để xác thực người dùng.
Điểm quan trọng cần biết là quy trình xác thực liên kết gián tiếp cần có phương thức gọi (ví dụ: Apigee Edge) để cung cấp thông tin đăng nhập của quản trị viên LDAP bên ngoài để Edge có thể "đăng nhập" vào LDAP bên ngoài và thực hiện tìm kiếm. Bạn phải cung cấp những thông tin đăng nhập này trong tệp cấu hình Edge, được mô tả ở phần sau của tài liệu này. Các bước cũng được mô tả để mã hoá thông tin đăng nhập mật khẩu.
Giới thiệu về phương thức xác thực liên kết trực tiếp
Với phương thức xác thực liên kết trực tiếp, Edge sẽ gửi thông tin đăng nhập do người dùng nhập trực tiếp đến hệ thống xác thực bên ngoài. Trong trường hợp này, không có tìm kiếm nào được thực hiện trên hệ thống bên ngoài. Thông tin xác thực được cung cấp đã thành công hoặc không thành công (ví dụ: nếu người dùng không có trong LDAP bên ngoài hoặc nếu mật khẩu không chính xác, thì quá trình đăng nhập sẽ không thành công).
Phương thức xác thực liên kết trực tiếp không yêu cầu bạn định cấu hình thông tin đăng nhập của quản trị viên cho hệ thống xác thực bên ngoài trong Apigee Edge (cũng như quy trình xác thực liên kết gián tiếp). Tuy nhiên, bạn phải thực hiện một bước định cấu hình đơn giản được mô tả trong phần Định cấu hình phương thức xác thực bên ngoài.
Tiếp cận cộng đồng Apigee
Apigee Community là tài nguyên miễn phí, nơi bạn có thể liên hệ với Apigee cũng như các khách hàng khác của Apigee nếu có thắc mắc, mẹo hay và các vấn đề khác. Trước khi đăng lên cộng đồng, hãy nhớ tìm kiếm các bài đăng hiện có để xem câu hỏi của bạn đã được trả lời hay chưa.