يقدّم هذا القسم نظرة عامة حول كيفية دمج خدمات الدليل الخارجية مع تثبيت Apigee Edge for Private Cloud الحالي. وتم تصميم هذه الميزة للعمل مع أي خدمة دليل تتوافق مع بروتوكول LDAP، مثل Active Directory وOpenLDAP وغيرها.
يتيح حل LDAP الخارجي لمشرفي النظام إدارة بيانات اعتماد المستخدم من خدمة مركزية لإدارة الدليل، خارج نطاق الأنظمة التي تستخدمها، مثل Apigee Edge. تتوافق الميزة الموضّحة في هذا المستند مع المصادقة الملزمة المباشرة وغير المباشرة.
للحصول على تعليمات تفصيلية حول ضبط خدمة الدليل الخارجية، يُرجى الاطّلاع على إعداد المصادقة الخارجية.
الجمهور
يفترض هذا المستند أنك مشرف النظام العام في Apigee Edge for Private Cloud وأن لديك حسابًا على خدمة الدليل الخارجي.
نظرة عامة
يستخدم Apigee Edge تلقائيًا نسخة افتراضية من OpenLDAP لتخزين بيانات الاعتماد المستخدمة في مصادقة المستخدم. ومع ذلك، يمكنك إعداد Edge لاستخدام خدمة LDAP للمصادقة الخارجية بدلاً من الخدمة الداخلية. في هذا المستند، يتضمّن هذا المستند شرحًا لإجراءات هذه الإعدادات الخارجية.
تخزِّن Edge أيضًا بيانات اعتماد الوصول المستندة إلى الأدوار في مثيل LDAP داخلي منفصل. وسواء أعددت خدمة مصادقة خارجية أم لا، يتم تخزين بيانات اعتماد التفويض دائمًا في مثيل LDAP الداخلي هذا. في هذا المستند، نوضح في هذا المستند إجراءات إضافة المستخدمين المتوفِّرين في نظام LDAP الخارجي إلى تفويض LDAP.
يُرجى ملاحظة أنّ المصادقة تشير إلى التحقّق من هوية المستخدم، بينما يشير التفويض إلى التحقّق من مستوى الإذن الذي يتم منحه لمستخدم تمت مصادقته لاستخدام ميزات Apigee Edge.
ما تحتاج إلى معرفته عن مصادقة وتفويض Edge
من المفيد فهم الفرق بين المصادقة والتفويض وطريقة إدارة Apigee Edge لهذين النشاطين.
لمحة عن المصادقة
يجب مصادقة المستخدمين الذين يدخلون إلى Apigee Edge إما من خلال واجهة المستخدم أو واجهات برمجة التطبيقات. بشكل افتراضي، يتم تخزين بيانات اعتماد مستخدم Edge للمصادقة في مثيل OpenLDAP الداخلي. ويجب عادةً أن يسجّل المستخدمون أو يُطلب منهم التسجيل للحصول على حساب في Apigee، ويقدِّمون عندها اسم المستخدم وعنوان البريد الإلكتروني وبيانات اعتماد كلمة المرور والبيانات الوصفية الأخرى. ويتم تخزين هذه المعلومات وإدارتها من خلال بروتوكول LDAP للمصادقة.
مع ذلك، إذا أردت استخدام بروتوكول LDAP خارجي لإدارة بيانات اعتماد المستخدم نيابةً عن Edge، يمكنك إجراء ذلك من خلال ضبط Edge لاستخدام نظام LDAP الخارجي بدلاً من النظام الداخلي. عند ضبط بروتوكول LDAP خارجي، يتم التحقّق من بيانات اعتماد المستخدم من خلال ذلك المتجر الخارجي، كما هو موضّح في هذا المستند.
لمحة عن التفويض
يمكن لمشرفي مؤسسات Edge منح أذونات محدّدة للمستخدمين للتفاعل مع كيانات Apigee Edge، مثل الخوادم الوكيلة لواجهة برمجة التطبيقات والمنتجات وذاكرات التخزين المؤقت وعمليات النشر وما إلى ذلك. ويتم منح الأذونات من خلال إسناد الأدوار إلى المستخدمين. تتضمن شبكة Edge العديد من الأدوار المدمجة، ويمكن لمشرفي المؤسسات تحديد أدوار مخصصة إذا لزم الأمر. على سبيل المثال، يمكن منح المستخدم إذنًا (من خلال دور) لإنشاء الخوادم الوكيلة لواجهة برمجة التطبيقات وتعديلها، ولكن ليس لنشرها في بيئة إنتاج.
بيانات اعتماد المفتاح التي يستخدمها نظام تفويض Edge هي عنوان البريد الإلكتروني الخاص بالمستخدم. يتم دائمًا تخزين بيانات الاعتماد هذه (إلى جانب بعض البيانات الوصفية الأخرى) في بروتوكول LDAP للتفويض الداخلي في Edge. يعتبر بروتوكول LDAP هذا منفصلاً تمامًا عن LDAP للمصادقة (سواء كان داخليًا أم خارجيًا).
بالنسبة إلى المستخدمين الذين تمت مصادقتهم من خلال بروتوكول LDAP خارجي، يجب أيضًا توفير المتطلبات اللازمة في نظام LDAP للتفويض بشكل يدوي. يتم شرح التفاصيل في هذا المستند.
للحصول على مزيد من المعلومات حول التفويض وRBAC، يُرجى الاطّلاع على إدارة مستخدمي المؤسسة وإسناد الأدوار.
لإلقاء نظرة أعمق، راجِع أيضًا التعرّف على خطوات المصادقة والترخيص في متصفّح Edge.
فهم المصادقة للربط المباشر وغير المباشر
تتيح ميزة التفويض الخارجي كلاً من المصادقة المباشرة وغير المباشرة من خلال نظام LDAP الخارجي.
الملخّص: تتطلب مصادقة الربط غير المباشر البحث على بروتوكول LDAP الخارجي لبيانات الاعتماد التي تتطابق مع عنوان البريد الإلكتروني أو اسم المستخدم أو رقم التعريف الآخر الذي يقدّمه المستخدم عند تسجيل الدخول. عند استخدام مصادقة الربط المباشر، لا يتم إجراء أي بحث، إذ يتم إرسال بيانات الاعتماد إلى خدمة LDAP والتحقق منها مباشرةً. تُعدّ المصادقة بالربط المباشر أكثر فعالية لعدم الحاجة إلى إجراء عمليات بحث.
لمحة عن مصادقة الربط غير المباشر
باستخدام المصادقة غير المباشرة للربط، يُدخل المستخدم بيانات اعتماد، مثل عنوان بريد إلكتروني أو اسم مستخدم أو سمة أخرى، ويبحث Edge في نظام المصادقة عن بيانات الاعتماد/القيمة هذه. إذا نجحت نتيجة البحث، يستخلص النظام الاسم المميز لـ LDAP من نتائج البحث ويستخدمه مع كلمة مرور مقدمة لمصادقة المستخدم.
وأهم ما يجب معرفته هو أن المصادقة غير المباشرة للربط تتطلب أن يكون المتصل (على سبيل المثال، Apigee Edge) لتوفير بيانات اعتماد مشرف LDAP خارجية حتى يتمكن Edge من "تسجيل الدخول" إلى بروتوكول LDAP الخارجي وإجراء البحث. يجب تقديم بيانات الاعتماد هذه في ملف إعداد Edge، الموضح لاحقًا في هذا المستند. يتم أيضًا توضيح خطوات تشفير بيانات اعتماد كلمة المرور.
لمحة عن مصادقة الربط المباشر
من خلال مصادقة الربط المباشر، يرسل Edge بيانات الاعتماد التي يُدخلها المستخدم مباشرةً إلى نظام المصادقة الخارجي. في هذه الحالة، لا يتم إجراء أي بحث على النظام الخارجي. إمّا أنّ بيانات الاعتماد التي تم تقديمها ناجحة أو يتعذّر عليها (على سبيل المثال، إذا لم يكن المستخدم متوفّرًا في بروتوكول LDAP الخارجي أو إذا كانت كلمة المرور غير صحيحة، لن ينجح تسجيل الدخول).
لا تتطلّب مصادقة الربط المباشر ضبط بيانات اعتماد المشرف لنظام المصادقة الخارجي في Apigee Edge (كما هو الحال مع المصادقة غير المباشرة للربط)، ولكن هناك خطوة إعداد بسيطة يجب تنفيذها على النحو الموضّح في إعداد المصادقة الخارجية.
الوصول إلى منتدى Apigee
منتدى Apigee هو مرجع مجاني يمكنك من خلاله التواصل مع Apigee ومع عملاء Apigee الآخرين لطرح الأسئلة والنصائح وغير ذلك من المشاكل. وقبل نشر مشاركة في المنتدى، احرص أولاً على البحث في المشاركات الحالية لمعرفة ما إذا سبق أن تمّت الإجابة عن سؤالك.