בחלק הזה מופיעה סקירה כללית של האופן שבו שירותי ספריות חיצוניים משתלבים עם התקנה קיימת של Apigee Edge להתקנה בענן פרטי. התכונה הזו מיועדת לפעול עם כל שירות ספריות שתומך ב-LDAP, כמו Active Directory, OpenLDAP ועוד.
פתרון LDAP חיצוני מאפשר לאדמינים של מערכות לנהל את פרטי הכניסה של המשתמשים משירות ניהול ספריות מרכזי, מחוץ למערכות כמו Apigee Edge שמשתמשות בהם. התכונה שמתוארת במסמך הזה תומכת באימות ישיר וגם באימות עקיף.
להוראות מפורטות לגבי הגדרה של שירות ספרייה חיצוני, ראו הגדרת אימות חיצוני.
קהל
המסמך הזה יוצא מנקודת הנחה שאתם אדמינים גלובליים של Apigee Edge למערכת גלובלית של ענן פרטי ושיש לכם חשבון לשירות הספריות החיצוני.
סקירה
כברירת מחדל, ב-Apigee Edge משתמשים במכונת OpenLDAP פנימית כדי לאחסן פרטי כניסה שמשמשים לאימות של משתמשים. עם זאת, ניתן להגדיר את Edge להשתמש בשירות LDAP חיצוני לאימות במקום בשירות הפנימי. התהליך של ההגדרות האישיות החיצוניות מוסבר במסמך הזה.
Edge גם שומר את פרטי הכניסה להרשאות של גישה מבוססת-תפקידים במכונת LDAP פנימית נפרדת. גם אם לא מגדירים שירות אימות חיצוני, פרטי הכניסה להרשאות נשמרים תמיד במופע ה-LDAP הפנימי. התהליך להוספת משתמשים שקיימים במערכת ה-LDAP החיצונית ל-LDAP של הרשאות קצה מוסבר במסמך הזה.
שימו לב שאימות מתייחס לאימות זהות של משתמש, ואילו ההרשאה מתייחסת לאימות רמת ההרשאה שניתנת למשתמש מאומת כדי להשתמש בתכונות של Apigee Edge.
מה צריך לדעת על אימות והרשאה של Edge
כדאי להבין את ההבדל בין אימות להרשאה לבין האופן שבו Apigee Edge מנהל את שתי הפעילויות האלה.
מידע על אימות
משתמשים שניגשים ל-Apigee Edge דרך ממשק המשתמש או ממשקי API חייבים לעבור אימות. כברירת מחדל, פרטי הכניסה של משתמש Edge לצורך אימות מאוחסנים במופע OpenLDAP פנימי. בדרך כלל, משתמשים צריכים להירשם לחשבון Apigee או לבקש ממנו להירשם, ובאותו הזמן הם מספקים את שם המשתמש, כתובת האימייל, פרטי הכניסה לסיסמה ומטא-נתונים אחרים שלהם. המידע הזה מאוחסן ב-LDAP לאימות ומנוהל על ידו.
עם זאת, אם רוצים להשתמש ב-LDAP חיצוני כדי לנהל פרטי כניסה של משתמשים מטעם Edge, אפשר להגדיר את Edge להשתמש במערכת ה-LDAP החיצונית במקום במערכת הפנימית. כאשר מוגדר LDAP חיצוני, פרטי הכניסה של המשתמש מאומתים מול החנות החיצונית הזו, כפי שמוסבר במסמך הזה.
מידע על הרשאה
אדמינים ארגוניים של דפדפן Edge יכולים להעניק למשתמשים הרשאות ספציפיות לאינטראקציה עם ישויות של Apigee Edge כמו שרתי proxy ל-API, מוצרים, מטמון, פריסות וכו'. הרשאות ניתנות באמצעות הקצאת תפקידים למשתמשים. Edge כולל מספר תפקידים מובנים, ובמקרה הצורך, מנהלי מערכת בארגון יכולים להגדיר תפקידים בהתאמה אישית. לדוגמה, המשתמש יכול לקבל הרשאה (באמצעות תפקיד) ליצור ולעדכן שרתי proxy ל-API, אבל לא לפרוס אותם בסביבת ייצור.
פרטי הכניסה העיקריים שמשמשים את מערכת ההרשאות של Edge הם כתובת האימייל של המשתמש. פרטי הכניסה האלה (יחד עם מטא-נתונים אחרים) תמיד מאוחסנים ב-LDAP הפנימי של ההרשאות של Edge. LDAP הזה נפרד לחלוטין מ-LDAP לאימות (פנימי או חיצוני).
משתמשים שאומתו באמצעות LDAP חיצוני חייבים גם לקבל הקצאה ידנית למערכת ה-LDAP של ההרשאות. הפרטים מוסברים במסמך הזה.
למידע נוסף על הרשאות ו-RBAC, ראו ניהול משתמשים בארגון והקצאת תפקידים.
למידע מעמיק יותר, ראו הסבר על תהליכי האימות וההרשאה של Edge.
הסבר על אימות קישור ישיר ועקיף
תכונת ההרשאה החיצונית תומכת באימות ישיר וגם באימות ישיר באמצעות מערכת ה-LDAP החיצונית.
סיכום: אימות קישור עקיף מחייב חיפוש ב-LDAP החיצוני של פרטי כניסה שתואמים לכתובת האימייל, לשם המשתמש או למזהה אחר שסופק על ידי המשתמש בהתחברות. עם אימות קישור ישיר לא מתבצע חיפוש – פרטי הכניסה נשלחים ישירות לשירות ה-LDAP ומאמתים אותם. אימות באמצעות קישור ישיר נחשב ליעיל יותר כי לא מתבצע חיפוש.
מידע על אימות קישור עקיף
באמצעות אימות קישור עקיף, המשתמשים מזינים פרטי כניסה כמו כתובת אימייל, שם משתמש או מאפיין אחר, ו-Edge מחפש את פרטי הכניסה או הערך האלה במערכת האימות. אם תוצאת החיפוש תהיה מוצלחת, המערכת תחלץ את ה-DN DN מתוצאות החיפוש ותשתמש בו עם סיסמה שסופקה כדי לאמת את המשתמש.
חשוב לדעת שאימות קישור עקיף מחייב את מבצע הקריאה החוזרת (למשל, Apigee Edge) כדי לספק פרטי כניסה חיצוניים של אדמין LDAP כדי ש-Edge יוכל "להתחבר" ל-LDAP החיצוני ולבצע את החיפוש. צריך לספק את פרטי הכניסה האלה בקובץ תצורה של Edge, שמתואר בהמשך המסמך. מתוארים גם השלבים להצפנת פרטי הכניסה לסיסמה.
מידע על אימות באמצעות קישור ישיר
באמצעות אימות בקישור ישיר, Edge שולח פרטי כניסה שמשתמשים מזינים ישירות למערכת האימות החיצונית. במקרה כזה, לא מתבצע חיפוש במערכת החיצונית. פרטי הכניסה שסופקו יצליחו או שהם ייכשלו (לדוגמה, אם המשתמש לא נמצא ב-LDAP החיצוני או אם הסיסמה שגויה, ההתחברות תיכשל).
אימות הקישור הישיר לא מחייב אתכם להגדיר פרטי כניסה של אדמין למערכת האימות החיצונית ב-Apigee Edge (כמו באימות קישור עקיף). עם זאת, יש שלב הגדרה פשוט שצריך לבצע, כפי שמתואר במאמר הגדרת אימות חיצוני.
גישה לקהילת Apigee
קהילת Apigee היא משאב חינמי שבו אפשר ליצור קשר עם Apigee ועם לקוחות אחרים של Apigee אם יש לכם שאלות, טיפים ובעיות אחרות. לפני פרסום בקהילה, חשוב לחפש קודם פוסטים קיימים כדי לראות אם כבר יש תשובה לשאלה שלך.