Dieser Abschnitt bietet einen Überblick darüber, wie externe Verzeichnisdienste in eine vorhandene Apigee Edge for Private Cloud-Installation integriert werden können. Diese Funktion funktioniert mit allen Verzeichnisdiensten, die LDAP unterstützen, z. B. Active Directory oder OpenLDAP.
Mit einer externen LDAP-Lösung können Systemadministratoren Nutzeranmeldedaten über einen zentralen Verzeichnisverwaltungsdienst verwalten, der sich außerhalb von Systemen wie Apigee Edge befindet, die sie verwenden. Das in diesem Dokument beschriebene Feature unterstützt sowohl direkte als auch indirekte Bindungsauthentifizierung.
Eine ausführliche Anleitung zum Konfigurieren eines externen Verzeichnisdienstes finden Sie unter Externe Authentifizierung konfigurieren.
Zielgruppe
In diesem Dokument wird davon ausgegangen, dass Sie ein globaler Systemadministrator von Apigee Edge for Private Cloud sind und ein Konto für den externen Verzeichnisdienst haben.
Überblick
Standardmäßig verwendet Apigee Edge eine interne OpenLDAP-Instanz zum Speichern von Anmeldedaten, die für die Nutzerauthentifizierung verwendet werden. Sie können Edge jedoch so konfigurieren, dass ein externer LDAP-Dienst zur Authentifizierung anstelle des internen Dienstes verwendet wird. Das Verfahren für diese externe Konfiguration wird in diesem Dokument erläutert.
Edge speichert außerdem Autorisierungsdaten für rollenbasierten Zugriff in einer separaten, internen LDAP-Instanz. Unabhängig davon, ob Sie einen externen Authentifizierungsdienst konfigurieren, werden Anmeldedaten für die Autorisierung immer in dieser internen LDAP-Instanz gespeichert. In diesem Dokument wird das Hinzufügen von Nutzern, die im externen LDAP-System vorhanden sind, zum LDAP der Edge-Autorisierung erläutert.
Beachten Sie, dass sich Authentifizierung auf die Validierung der Identität eines Nutzers bezieht, während sich die Autorisierung auf die Überprüfung der Berechtigungsstufe bezieht, die einem authentifizierten Nutzer zur Verwendung von Apigee Edge-Features gewährt wurde.
Was Sie über die Edge-Authentifizierung und -Autorisierung wissen müssen
Es ist hilfreich, den Unterschied zwischen Authentifizierung und Autorisierung zu verstehen und zu verstehen, wie Apigee Edge diese beiden Aktivitäten verwaltet.
Authentifizierung
Benutzer, die entweder über die Benutzeroberfläche oder über APIs auf Apigee Edge zugreifen, müssen authentifiziert sein. Standardmäßig werden Edge-Nutzeranmeldedaten zur Authentifizierung in einer internen OpenLDAP-Instanz gespeichert. In der Regel müssen sich Nutzer registrieren oder dazu aufgefordert werden, sich für ein Apigee-Konto zu registrieren. Dann geben sie ihren Nutzernamen, ihre E-Mail-Adresse, ihr Passwort und andere Metadaten an. Diese Informationen werden im LDAP der Authentifizierung gespeichert und verwaltet.
Wenn Sie jedoch ein externes LDAP zum Verwalten von Nutzeranmeldedaten im Namen von Edge verwenden möchten, können Sie Edge so konfigurieren, dass das externe LDAP-System anstelle des internen verwendet wird. Wenn ein externes LDAP konfiguriert ist, werden die Nutzeranmeldedaten anhand dieses externen Speichers validiert, wie in diesem Dokument erläutert.
Informationen zur Autorisierung
Edge-Organisationsadministratoren können Nutzern bestimmte Berechtigungen für die Interaktion mit Apigee Edge-Entitäten wie API-Proxys, Produkten, Caches, Bereitstellungen usw. erteilen. Berechtigungen werden Nutzern durch die Zuweisung von Rollen gewährt. Edge enthält mehrere integrierte Rollen. Bei Bedarf können Organisationsadministratoren benutzerdefinierte Rollen definieren. Einem Nutzer kann beispielsweise die Berechtigung (über eine Rolle) erteilt werden, API-Proxys zu erstellen und zu aktualisieren, aber nicht, sie in einer Produktionsumgebung bereitzustellen.
Die Schlüsselanmeldedaten, die vom Edge-Autorisierungssystem verwendet werden, sind die E-Mail-Adresse des Nutzers. Diese Anmeldedaten (zusammen mit einigen anderen Metadaten) werden immer im internen Autorisierungs-LDAP von Edge gespeichert. Dieses LDAP ist völlig unabhängig vom LDAP zur Authentifizierung (sowohl intern als auch extern).
Nutzer, die über ein externes LDAP authentifiziert werden, müssen auch manuell im Autorisierungs-LDAP-System bereitgestellt werden. Ausführliche Informationen finden Sie in diesem Dokument.
Weitere Informationen zu Autorisierung und RBAC finden Sie unter Organisationsnutzer verwalten und Rollen zuweisen.
Für einen tieferen Einblick finden Sie auch unter Grundlegendes zu Edge-Authentifizierungs- und Autorisierungsabläufen.
Grundlegendes zur Authentifizierung für direkte und indirekte Bindungen
Die externe Autorisierungsfunktion unterstützt sowohl die direkte als auch die indirekte Bindung über das externe LDAP-System.
Zusammenfassung: Für die Authentifizierung der indirekten Bindung muss auf dem externen LDAP nach Anmeldedaten gesucht werden, die mit der E-Mail-Adresse, dem Nutzernamen oder einer anderen ID übereinstimmen, die vom Nutzer bei der Anmeldung angegeben wurde. Bei der Direct Binding-Authentifizierung wird keine Suche ausgeführt. Anmeldedaten werden direkt an den LDAP-Dienst gesendet und von diesem überprüft. Die direkte Bindungsauthentifizierung gilt als effizienter, da keine Suche durchgeführt wird.
Informationen zur Authentifizierung für indirekte Bindungen
Bei der indirekten Bindungsauthentifizierung gibt der Nutzer Anmeldedaten ein, z. B. eine E-Mail-Adresse, einen Nutzernamen oder ein anderes Attribut, und Edge sucht im Authentifizierungssystem nach diesen Anmeldedaten/Werten. Wenn das Suchergebnis erfolgreich ist, extrahiert das System den LDAP-DN aus den Suchergebnissen und verwendet ihn mit einem angegebenen Passwort, um den Nutzer zu authentifizieren.
Wichtig zu wissen ist, dass für die indirekte Bindung der Aufrufer erforderlich ist (z.B. Apigee Edge), um externe LDAP-Administratoranmeldedaten anzugeben, damit sich Edge beim externen LDAP "anmelden" und die Suche ausführen kann. Sie müssen diese Anmeldedaten in einer Edge-Konfigurationsdatei angeben, die weiter unten in diesem Dokument beschrieben wird. Die Schritte zum Verschlüsseln der Anmeldedaten für das Passwort werden ebenfalls beschrieben.
Direct Binding-Authentifizierung
Bei der Direct Binding-Authentifizierung sendet Edge die von einem Nutzer eingegebenen Anmeldedaten direkt an das externe Authentifizierungssystem. In diesem Fall wird keine Suche auf dem externen System durchgeführt. Die angegebenen Anmeldedaten sind entweder erfolgreich oder sie schlagen fehl (z.B. schlägt die Anmeldung fehl, wenn der Nutzer nicht im externen LDAP vorhanden ist oder das Passwort falsch ist).
Für die direkte Bindungsauthentifizierung müssen Sie keine Administratoranmeldedaten für das externe Authentifizierungssystem in Apigee Edge konfigurieren (wie bei der indirekten Bindungsauthentifizierung). Sie müssen jedoch einen einfachen Konfigurationsschritt ausführen, der unter Externe Authentifizierung konfigurieren beschrieben wird.
Apigee-Community aufrufen
Die Apigee-Community ist eine kostenlose Ressource, über die Sie Apigee sowie andere Apigee-Kunden mit Fragen, Tipps und anderen Problemen kontaktieren können. Bevor Sie eine Frage in der Community posten, sollten Sie zuerst nach vorhandenen Beiträgen suchen, um zu sehen, ob Ihre Frage bereits beantwortet wurde.