このセクションでは、外部ディレクトリ サービスを既存の Apigee Edge for Private Cloud インストールと統合する方法の概要について説明します。この機能は、Active Directory、OpenLDAP など、LDAP をサポートするすべてのディレクトリ サービスと連携するように設計されています。
外部 LDAP ソリューションを使用すると、システム管理者は、ユーザー認証情報を使用する Apigee Edge などのシステムの外部にある一元化されたディレクトリ管理サービスから、ユーザー認証情報を管理できます。このドキュメントで説明する機能は、直接と間接の両方のバインディング認証をサポートしています。
外部ディレクトリ サービスを構成する詳細な手順については、外部認証の構成をご覧ください。
対象読者
このドキュメントでは、読者が Apigee Edge for Private Cloud のグローバル システム管理者であり、外部ディレクトリ サービスのアカウントを持っていることを前提としています。
概要
デフォルトでは、Apigee Edge は内部 OpenLDAP インスタンスを使用して、ユーザーの認証に使用する認証情報を保存します。ただし、内部 LDAP サービスではなく外部認証 LDAP サービスを使用するように Edge を構成できます。この外部構成の手順は、このドキュメントで説明されています。
また、Edge では、ロールベース アクセスの認可の認証情報が別の内部 LDAP インスタンスに保存されます。外部認証サービスを構成するかどうかにかかわらず、認証情報は常にこの内部 LDAP インスタンスに保存されます。このドキュメントでは、外部 LDAP システムに存在するユーザーを Edge 認証 LDAP に追加する手順について説明します。
「認証」とはユーザーの ID を検証することであり、「認可」とは、認証されたユーザーが Apigee Edge 機能を使用するために付与された権限のレベルを確認することです。
Edge の認証と認可について知っておくべきこと
認証と認可の違いと、Apigee Edge がこれらの 2 つのアクティビティを管理する方法を理解しておくと役に立ちます。
認証について
UI または API から Apigee Edge にアクセスするユーザーは、認証を受ける必要があります。デフォルトでは、認証用の Edge ユーザー認証情報は内部 OpenLDAP インスタンスに保存されます。通常、ユーザーは Apigee アカウントに登録するか、登録するように求められます。その際、ユーザー名、メールアドレス、パスワード認証情報、その他のメタデータを指定します。この情報は認証 LDAP に保存され、管理されます。
ただし、外部 LDAP を使用して Edge に代わってユーザー認証情報を管理する場合は、内部 LDAP システムではなく外部 LDAP システムを使用するように Edge を構成します。外部 LDAP が構成されている場合、このドキュメントで説明するように、ユーザー認証情報はその外部ストアに対して検証されます。
承認について
Edge 組織管理者は、API プロキシ、プロダクト、キャッシュ、デプロイなどの Apigee Edge エンティティとやり取りするための特定の権限をユーザーに付与できます。権限は、ユーザーにロールを割り当てることで付与されます。Edge にはいくつかの組み込みロールがあり、必要に応じて組織管理者がカスタムロールを定義できます。たとえば、あるユーザーに、API プロキシの作成と更新の承認を(ロールを通じて)付与できるものの、本番環境への API プロキシのデプロイは許可しない場合があります。
Edge 認可システムで使用される鍵認証情報は、ユーザーのメールアドレスです。この認証情報は、他のメタデータとともに、常に Edge の内部認可 LDAP に保存されます。この LDAP は、内部または外部にかかわらず、認証 LDAP とは完全に異なります。
外部 LDAP を使用して認証されたユーザーは、認可 LDAP システムに手動でプロビジョニングする必要があります。詳細については、このドキュメントをご覧ください。
認可と RBAC の詳細な背景情報については、組織ユーザーの管理とロールの割り当てをご覧ください。
詳細については、Edge の認証と認可のフローについてをご覧ください。
直接バインディング認証と間接バインディング認証について
外部認可機能は、外部 LDAP システムによる直接と間接の両方のバインディング認証をサポートしています。
概要: 間接バインディング認証では、ログイン時にユーザーが指定したメールアドレス、ユーザー名、またはその他の ID と一致する認証情報を外部 LDAP で検索する必要があります。直接バインディング認証では、検索は実行されません。認証情報が LDAP サービスに直接送信され、検証されます。直接バインディング認証は、検索が含まれないため、より効率的とみなされます。
間接バインディング認証について
間接バインディング認証では、ユーザーがメールアドレス、ユーザー名、その他の属性などの認証情報を入力すると、Edge がこの認証情報/値で認証システムを検索します。検索結果が成功すると、システムは検索結果から LDAP DN を抽出し、指定されたパスワードとともに使用してユーザーを認証します。
知っておくべき重要な点は、間接バインディング認証では呼び出し元(例:Apigee Edge など)に外部 LDAP 管理者の認証情報を提供して、Edge が外部 LDAP に「ログイン」して検索を実行できるようにします。これらの認証情報は、このドキュメントの後半で説明する Edge 構成ファイルで指定する必要があります。パスワード認証情報を暗号化する手順についても説明します。
直接バインディング認証について
直接バインディング認証では、ユーザーが入力した認証情報を Edge が外部認証システムに直接送信します。この場合、外部システムで検索は行われません。指定された認証情報が成功するか失敗するか(たとえば、ユーザーが外部 LDAP に存在しない場合やパスワードが正しくない場合)は、ログインが失敗します。
直接バインディング認証では、外部認証システムの管理者認証情報を Apigee Edge で構成する必要はありません(間接バインディング認証と同様)。ただし、簡単な構成手順を実施する必要があります。これについては、外部認証の構成をご覧ください。
Apigee コミュニティにアクセスする
Apigee コミュニティは、Apigee に関する質問、ヒント、その他の問題について Apigee のスタッフや他の Apigee ユーザーに問い合わせることや、情報交換を行える無料のリソースです。コミュニティに投稿する前に、既存の投稿を検索して同じ質問に対する回答がないかどうかご確認ください。