Cette section présente l'intégration des services d'annuaire externes à une installation Apigee Edge pour Private Cloud existante. Cette fonctionnalité est conçue pour fonctionner avec tout service d'annuaire compatible avec LDAP, tel qu'Active Directory, OpenLDAP, etc.
Une solution LDAP externe permet aux administrateurs système de gérer les identifiants des utilisateurs à partir d'un service de gestion d'annuaires centralisé, externe aux systèmes tels qu'Apigee Edge qui les utilisent. La fonctionnalité décrite dans ce document prend en charge l'authentification par liaison directe et indirecte.
Pour obtenir des instructions détaillées sur la configuration d'un service d'annuaire externe, consultez la page Configurer l'authentification externe.
Audience
Ce document suppose que vous êtes un administrateur système global Apigee Edge pour Private Cloud et que vous possédez un compte pour le service d'annuaire externe.
Présentation
Par défaut, Apigee Edge utilise une instance OpenLDAP interne pour stocker les informations d'identification utilisées pour l'authentification des utilisateurs. Cependant, vous pouvez configurer Edge pour utiliser un service LDAP d'authentification externe au lieu du service interne. La procédure pour cette configuration externe est expliquée dans ce document.
Edge stocke également les identifiants d'autorisation d'accès basés sur les rôles dans une instance LDAP interne distincte. Que vous configuriez ou non un service d'authentification externe, les identifiants d'autorisation sont toujours stockés dans cette instance LDAP interne. La procédure d'ajout au service LDAP d'autorisation périphérique est expliquée dans ce document.
Notez que l'authentification fait référence à la validation de l'identité d'un utilisateur, tandis que l'autorisation fait référence à la vérification du niveau d'autorisation accordé à un utilisateur authentifié pour utiliser les fonctionnalités d'Apigee Edge.
Ce que vous devez savoir sur l'authentification et l'autorisation Edge
Il est utile de comprendre la différence entre l'authentification et l'autorisation et la manière dont Apigee Edge gère ces deux activités.
À propos de l'authentification
Les utilisateurs qui accèdent à Apigee Edge via l'interface utilisateur ou les API doivent être authentifiés. Par défaut, les informations d'identification de l'utilisateur Edge pour l'authentification sont stockées dans une instance OpenLDAP interne. En règle générale, les utilisateurs doivent s'enregistrer ou être invités à créer un compte Apigee. À ce moment-là, ils doivent fournir leur nom d'utilisateur, leur adresse e-mail, leurs identifiants de mot de passe et d'autres métadonnées. Ces informations sont stockées et gérées par le LDAP d'authentification.
Cependant, si vous souhaitez utiliser un LDAP externe pour gérer les informations d'identification de l'utilisateur pour le compte d'Edge, vous pouvez le faire en configurant Edge pour qu'il utilise le système LDAP externe au lieu du système interne. Lorsqu'un serveur LDAP externe est configuré, les identifiants de l'utilisateur sont validés par rapport à ce magasin externe, comme expliqué dans ce document.
À propos de l'autorisation
Les administrateurs d'organisation Edge peuvent accorder des autorisations spécifiques aux utilisateurs pour leur permettre d'interagir avec les entités Apigee Edge telles que les proxys d'API, les produits, les caches, les déploiements, etc. Les autorisations sont accordées via l'attribution de rôles aux utilisateurs. Edge comprend plusieurs rôles intégrés et, si nécessaire, les administrateurs de l'organisation peuvent définir des rôles personnalisés. Par exemple, un utilisateur peut obtenir l'autorisation (via un rôle) de créer et de mettre à jour des proxys d'API, mais pas de les déployer dans un environnement de production.
Les identifiants de clé utilisés par le système d'autorisation Edge sont l'adresse e-mail de l'utilisateur. Cet identifiant (ainsi que d'autres métadonnées) est toujours stocké dans le serveur LDAP d'autorisation interne de Edge. Ce LDAP est entièrement distinct du LDAP d'authentification (interne ou externe).
Les utilisateurs authentifiés via un serveur LDAP externe doivent également être provisionnés manuellement dans le système LDAP d'autorisation. Ce document fournit des explications détaillées.
Pour en savoir plus sur l'autorisation et le contrôle RBAC, consultez les pages Gérer les utilisateurs de l'organisation et Attribuer des rôles.
Pour une vue plus détaillée, consultez également Comprendre les flux d'authentification et d'autorisation Edge.
Comprendre l'authentification par liaison directe et indirecte
La fonctionnalité d'autorisation externe prend en charge l'authentification par liaison directe et indirecte via le système LDAP externe.
Résumé: L'authentification par liaison indirecte nécessite une recherche sur le LDAP externe pour trouver les identifiants correspondant à l'adresse e-mail, au nom d'utilisateur ou à tout autre ID fourni par l'utilisateur lors de la connexion. Avec l'authentification par liaison directe, aucune recherche n'est effectuée. Les identifiants sont envoyés directement au service LDAP et validés par celui-ci. L'authentification par liaison directe est considérée comme plus efficace, car aucune recherche n'est nécessaire.
À propos de l'authentification par liaison indirecte
Avec l'authentification par liaison indirecte, l'utilisateur entre un jeu d'identification, tel qu'une adresse e-mail, un nom d'utilisateur ou un autre attribut, et Edge recherche un système d'authentification pour cet identifiant/cette valeur. Si le résultat de la recherche aboutit, le système extrait le nom distinctif LDAP des résultats et l'utilise avec le mot de passe fourni pour authentifier l'utilisateur.
Ce qu'il faut savoir, c'est que l'authentification par liaison indirecte nécessite que l'appelant (par exemple, Apigee Edge) pour fournir des informations d'identification d'administrateur LDAP externe afin qu'Edge puisse "se connecter" au LDAP externe et effectuer la recherche. Vous devez fournir ces informations d'identification dans un fichier de configuration Edge, décrit plus loin dans ce document. Les étapes à suivre pour chiffrer les identifiants du mot de passe sont également décrites.
À propos de l'authentification par liaison directe
Avec l'authentification par liaison directe, Edge envoie les informations d'identification saisies par un utilisateur directement au système d'authentification externe. Dans ce cas, aucune recherche n'est effectuée sur le système externe. Les identifiants fournis réussissent ou échouent (par exemple, si l'utilisateur n'est pas présent sur le serveur LDAP externe ou si le mot de passe est incorrect, la connexion échoue).
L'authentification par liaison directe ne nécessite pas de configurer les identifiants d'administrateur pour le système d'authentification externe dans Apigee Edge (comme pour l'authentification de liaison indirecte). Toutefois, vous devez effectuer une étape de configuration simple décrite dans la section Configurer l'authentification externe.
Accéder à la communauté Apigee
La communauté Apigee est une ressource sans frais grâce auquel vous pouvez contacter Apigee, ainsi que d'autres clients Apigee, pour leur poser des questions, demander des conseils et rechercher de l'aide sur d'autres problèmes. Avant de publier dans la communauté, veillez à rechercher d'abord les posts existants pour voir si une question a déjà été traitée.