Questa sezione fornisce una panoramica di come i servizi di directory esterne si integrano con un'installazione di Apigee Edge per Private Cloud esistente. Questa funzionalità è progettata per essere utilizzata con qualsiasi servizio di directory che supporta LDAP, come Active Directory, OpenLDAP e altri.
Una soluzione LDAP esterna consente agli amministratori di sistema di gestire le credenziali utente da un servizio di gestione delle directory centralizzato, esterno ai sistemi che le utilizzano come Apigee Edge. La funzionalità descritta in questo documento supporta l'autenticazione di associazione diretta e indiretta.
Per istruzioni dettagliate sulla configurazione di un servizio di directory esterno, consulta Configurazione dell'autenticazione esterna.
Pubblico
Questo documento presuppone che tu sia un amministratore di sistema globale di Apigee Edge per il cloud privato e che tu disponga di un account per il servizio di directory esterna.
Panoramica
Per impostazione predefinita, Apigee Edge utilizza un'istanza OpenLDAP interna per archiviare le credenziali utilizzate per l'autenticazione utente. Tuttavia, puoi configurare Edge in modo che utilizzi un servizio LDAP di autenticazione esterna anziché quello interno. La procedura per questa configurazione esterna è spiegata in questo documento.
Edge archivia inoltre le credenziali di autorizzazione di accesso basato su ruoli in un'istanza LDAP interna separata. Indipendentemente dalla configurazione di un servizio di autenticazione esterno, le credenziali di autorizzazione vengono sempre archiviate in questa istanza LDAP interna. La procedura per aggiungere utenti esistenti nel sistema LDAP esterno al protocollo LDAP di autorizzazione perimetrale è spiegata in questo documento.
Tieni presente che con autenticazione si intende la convalida dell'identità di un utente, mentre per autorizzazione si intende la verifica del livello di autorizzazione a un utente autenticato per utilizzare le funzionalità di Apigee Edge.
Cosa devi sapere sull'autenticazione e l'autorizzazione perimetrale
È utile capire la differenza tra autenticazione e autorizzazione e il modo in cui Apigee Edge gestisce queste due attività.
Informazioni sull'autenticazione
Gli utenti che accedono ad Apigee Edge tramite UI o API devono essere autenticati. Per impostazione predefinita, le credenziali utente periferiche per l'autenticazione sono archiviate in un'istanza OpenLDAP interna. In genere, gli utenti devono registrarsi o gli viene chiesto di registrarsi per un account Apigee e, in quel momento, forniscono il proprio nome utente, indirizzo email, credenziali della password e altri metadati. Queste informazioni vengono archiviate e gestite tramite il protocollo LDAP di autenticazione.
Tuttavia, se vuoi utilizzare un LDAP esterno per gestire le credenziali utente per conto di Edge, puoi farlo configurando Edge in modo che utilizzi il sistema LDAP esterno anziché quello interno. Quando si configura un LDAP esterno, le credenziali utente vengono convalidate in base all'archivio esterno, come spiegato in questo documento.
Informazioni sull'autorizzazione
Gli amministratori di organizzazioni periferiche possono concedere agli utenti autorizzazioni specifiche per interagire con entità Apigee Edge come proxy API, prodotti, cache, deployment e così via. Le autorizzazioni vengono concesse mediante l'assegnazione di ruoli agli utenti. Edge include diversi ruoli integrati e, se necessario, gli amministratori dell'organizzazione possono definire ruoli personalizzati. Ad esempio, a un utente può essere concessa l'autorizzazione (tramite un ruolo) per creare e aggiornare proxy API, ma non per eseguirne il deployment in un ambiente di produzione.
La credenziale chiave utilizzata dal sistema di autorizzazione perimetrale è l'indirizzo email dell'utente. Questa credenziale (insieme ad alcuni altri metadati) viene sempre archiviata nel protocollo LDAP di autorizzazione interna di Edge. Questo LDAP è completamente separato dal LDAP di autenticazione (interno o esterno).
Inoltre, è necessario eseguire manualmente il provisioning degli utenti autenticati tramite un LDAP esterno nel sistema LDAP di autorizzazione. I dettagli sono illustrati in questo documento.
Per ulteriori informazioni sull'autorizzazione e su RBAC, consulta Gestire gli utenti dell'organizzazione e Assegnazione dei ruoli.
Per un'analisi più approfondita, vedi anche Informazioni sui flussi di autenticazione e autorizzazione perimetrale.
Informazioni sull'autenticazione dell'associazione diretta e indiretta
La funzionalità di autorizzazione esterna supporta l'autenticazione di associazione sia diretta che indiretta tramite il sistema LDAP esterno.
Riepilogo: l'autenticazione di associazione indiretta richiede una ricerca sul server LDAP esterno delle credenziali che corrispondono all'indirizzo email, al nome utente o a un altro ID fornito dall'utente al momento dell'accesso. Con l'autenticazione basata su associazione diretta, non viene eseguita alcuna ricerca: le credenziali vengono inviate e convalidate direttamente dal servizio LDAP. L'autenticazione per l'associazione diretta è considerata più efficiente perché non prevede ricerche.
Informazioni sull'autenticazione dell'associazione indiretta
Con l'autenticazione di associazione indiretta, l'utente inserisce una credenziale, come un indirizzo email, un nome utente o un altro attributo, e il sistema di autenticazione delle ricerche Edge per questa credenziale/valore. Se il risultato della ricerca ha esito positivo, il sistema estrae il DN LDAP dai risultati di ricerca e lo utilizza con una password fornita per autenticare l'utente.
Il punto chiave da sapere è che l'autenticazione per l'associazione indiretta richiede il chiamante (ad es. Apigee Edge) per fornire credenziali di amministratore LDAP esterne in modo che Edge possa "accedere" al LDAP esterno ed eseguire la ricerca. Devi fornire queste credenziali in un file di configurazione Edge, descritto più avanti in questo documento. Sono descritti anche i passaggi per criptare la credenziale della password.
Informazioni sull'autenticazione per l'associazione diretta
Con l'autenticazione per l'associazione diretta, Edge invia le credenziali inserite da un utente direttamente al sistema di autenticazione esterno. In questo caso, non viene eseguita alcuna ricerca sul sistema esterno. Le credenziali fornite hanno esito positivo o negativo (ad esempio, se l'utente non è presente nel LDAP esterno o se la password non è corretta, l'accesso non andrà a buon fine).
L'autenticazione dell'associazione diretta non richiede la configurazione delle credenziali di amministrazione per il sistema di autenticazione esterno in Apigee Edge (come accade con l'autenticazione dell'associazione indiretta). Tuttavia, è necessario eseguire un semplice passaggio di configurazione, descritto in Configurare l'autenticazione esterna.
Accedi alla community di Apigee
La community Apigee è una risorsa senza costi in cui puoi contattare Apigee e altri clienti Apigee per domande, suggerimenti e altri problemi. Prima di pubblicare contenuti nella community, assicurati di cercare nei post esistenti per vedere se la tua domanda ha già ricevuto una risposta.