本節概述外部目錄服務如何與現有 Apigee Edge 的私有安裝作業整合。這項功能可與任何支援 LDAP 的目錄服務搭配使用,例如 Active Directory、OpenLDAP 等。
外部 LDAP 解決方案可讓系統管理員透過集中式目錄管理服務管理使用者憑證,而外部系統 (例如 Apigee Edge) 使用這些目錄管理服務。本文件所述功能支援直接和間接繫結驗證。
如需設定外部目錄服務的詳細操作說明,請參閱設定外部驗證。
適用對象
本文假設您是 Private Cloud 全球通用系統管理員,且您擁有外部目錄服務的帳戶。
總覽
根據預設,Apigee Edge 會使用內部 OpenLDAP 執行個體來儲存用於使用者驗證的憑證。不過,您可以將 Edge 設定為使用外部驗證 LDAP 服務,而非內部驗證 LDAP 服務。如要瞭解這項外部設定的程序,請參閱本文件。
Edge 也會將角色存取權授權憑證儲存至獨立的內部 LDAP 執行個體。無論您是否設定外部驗證服務,授權憑證「一律」儲存在這個內部 LDAP 執行個體中。本文件說明如何將外部 LDAP 系統中的使用者新增至邊緣授權 LDAP。
請注意,「驗證」是指驗證使用者身分,授權則是指驗證已驗證使用者授予使用 Apigee Edge 功能的權限層級。
需瞭解的 Edge 驗證和授權須知
建議您瞭解驗證和授權的差異,以及 Apigee Edge 管理這兩項活動的方式。
關於驗證
透過 UI 或 API 存取 Apigee Edge 的使用者都必須通過驗證。根據預設,用於驗證的 Edge 使用者憑證會儲存在內部 OpenLDAP 執行個體中。一般來說,使用者必須註冊或要求註冊 Apigee 帳戶,屆時需要提供使用者名稱、電子郵件地址、密碼憑證和其他中繼資料。這項資訊是由驗證 LDAP 儲存和管理。
不過,如果您想使用外部 LDAP 代表 Edge 管理使用者憑證,可以將 Edge 設為使用外部 LDAP 系統 (而非內部 LDAP)。設定外部 LDAP 時,系統會針對該外部儲存庫驗證使用者憑證,如本文件所述。
關於授權
邊緣機構管理員可以授予特定權限,讓使用者能與 API Proxy、產品、快取、部署作業等 Apigee Edge 實體互動。只要透過指派角色給使用者,即可授予權限。Edge 包含多個內建角色,如有需要,機構管理員可以定義自訂角色。舉例來說,您可以授予使用者授權 (透過角色) 建立及更新 API Proxy,但無法部署至實際工作環境。
Edge 授權系統使用的金鑰憑證是使用者的電子郵件地址。這個憑證 (以及其他中繼資料) 一律儲存在 Edge 的內部授權 LDAP 中。這個 LDAP 與驗證 LDAP (無論是內部還是外部) 完全無關。
透過外部 LDAP 驗證的使用者也必須手動佈建到授權 LDAP 系統中。詳情請參閱本文件。
如要進一步瞭解授權和 RBAC,請參閱管理機構使用者和指派角色。
如需更多詳情,另請參閱瞭解邊緣驗證和授權流程。
瞭解直接和間接繫結驗證
外部授權功能支援透過外部 LDAP 系統進行「直接」和「間接」繫結驗證。
摘要:間接繫結驗證需要在外部 LDAP 中搜尋憑證,且憑證須與使用者在登入時提供的電子郵件地址、使用者名稱或其他 ID 相符。使用直接繫結驗證時,系統不會執行任何搜尋,因為憑證會直接傳送至 LDAP 服務並進行驗證。直接繫結驗證是更有效率的,因為其中不涉及任何搜尋。
關於間接繫結驗證
使用間接繫結驗證機制時,使用者會輸入電子郵件地址、使用者名稱或其他屬性等憑證,並由 Edge 搜尋這個憑證/值的驗證系統。如果搜尋結果成功,系統就會從搜尋結果中擷取 LDAP DN,並搭配所提供的密碼使用,進而驗證使用者。
重點是間接繫結驗證需要呼叫端 (例如Apigee Edge) 提供外部 LDAP 管理員憑證,讓 Edge 能夠「登入」外部 LDAP 並執行搜尋。您必須在 Edge 設定檔中提供這些憑證,詳情請參閱本文後續章節。我們也會說明加密密碼憑證的步驟。
關於直接繫結驗證
透過直接繫結驗證機制,Edge 會將使用者輸入的憑證直接傳送至外部驗證系統。在此情況下,系統不會在外部系統上執行搜尋。 提供的憑證可能是成功或失敗 (例如,如果使用者不在外部 LDAP 中,或是密碼有誤,登入作業就會失敗)。
使用直接繫結驗證時,您不需要為 Apigee Edge 中的外部驗證系統設定管理員憑證 (如同間接繫結驗證)。不過,您必須執行簡單的設定步驟,詳情請參閱「設定外部驗證」。
存取 Apigee 社群
Apigee 社群是免費資源,您可以在此與 Apigee 和其他 Apigee 客戶聯絡,詢問有關問題、提示和其他問題。在社群中張貼問題前,請務必先搜尋現有的貼文,看看您的問題是否已有解答。