이 섹션에서는 외부 디렉터리 서비스를 Private Cloud용 기존 Apigee Edge 설치와 통합하는 방법을 간략하게 설명합니다. 이 기능은 Active Directory, OpenLDAP 등 LDAP를 지원하는 모든 디렉터리 서비스에서 작동하도록 설계되었습니다.
외부 LDAP 솔루션을 사용하면 시스템 관리자가 중앙 집중식 디렉터리 관리 서비스(이를 사용하는 Apigee Edge와 같은 시스템 외부)에서 사용자 인증 정보를 관리할 수 있습니다. 이 문서에 설명된 기능은 직접 바인딩 인증과 간접 바인딩 인증을 모두 지원합니다.
외부 디렉터리 서비스를 구성하는 방법에 대한 자세한 안내는 외부 인증 구성을 참조하세요.
대상
이 문서에서는 사용자가 Private Cloud용 Apigee Edge 글로벌 시스템 관리자이고 외부 디렉터리 서비스 계정이 있다고 가정합니다.
개요
기본적으로 Apigee Edge는 내부 OpenLDAP 인스턴스를 사용하여 사용자 인증에 사용되는 사용자 인증 정보를 저장합니다. 하지만 내부 인증 대신 외부 인증 LDAP 서비스를 사용하도록 Edge를 구성할 수 있습니다. 이 외부 구성 절차는 이 문서에 설명되어 있습니다.
또한 Edge는 역할 기반 액세스 승인 사용자 인증 정보를 별도의 내부 LDAP 인스턴스에 저장합니다. 외부 인증 서비스 구성 여부와 관계없이 승인 사용자 인증 정보는 항상 이 내부 LDAP 인스턴스에 저장됩니다. 외부 LDAP 시스템에 존재하는 사용자를 Edge 승인 LDAP에 추가하는 절차는 이 문서에 설명되어 있습니다.
인증은 사용자 ID를 검증하는 반면, 승인은 Apigee Edge 기능을 사용하도록 인증된 사용자에게 부여되는 권한 수준을 확인하는 것을 의미합니다.
에지 인증 및 승인에 대해 알아야 할 사항
인증과 승인의 차이점과 Apigee Edge가 이 두 활동을 관리하는 방법을 이해하면 도움이 됩니다.
인증 정보
UI 또는 API를 통해 Apigee Edge에 액세스하는 사용자는 인증을 받아야 합니다. 기본적으로 인증을 위한 Edge 사용자 인증 정보는 내부 OpenLDAP 인스턴스에 저장됩니다. 일반적으로 사용자는 Apigee 계정을 등록하거나 등록 요청을 받아야 하며 이때 사용자 이름, 이메일 주소, 비밀번호 사용자 인증 정보, 기타 메타데이터를 제공합니다. 이 정보는 인증 LDAP에 의해 저장되고 관리됩니다.
하지만 외부 LDAP를 사용하여 Edge를 대신하여 사용자 인증 정보를 관리하려면 Edge에서 내부 LDAP 시스템 대신 외부 LDAP 시스템을 사용하도록 구성하면 됩니다. 외부 LDAP가 구성되면 이 문서에 설명된 대로 해당 외부 저장소를 기준으로 사용자 인증 정보의 유효성을 검사합니다.
승인 정보
Edge 조직 관리자는 사용자에게 API 프록시, 제품, 캐시, 배포 등의 Apigee Edge 항목과 상호작용할 수 있는 특정 권한을 부여할 수 있습니다. 권한은 사용자에게 역할을 할당하여 부여됩니다. Edge에는 몇 가지 기본 제공 역할이 포함되어 있으며 필요한 경우 조직 관리자가 커스텀 역할을 정의할 수 있습니다. 예를 들어 사용자에게 역할을 통해 API 프록시를 만들고 업데이트할 수 있는 권한을 부여받을 수 있지만 프로덕션 환경에 배포할 수는 없습니다.
에지 승인 시스템에서 사용하는 키 사용자 인증 정보는 사용자의 이메일 주소입니다. 이 사용자 인증 정보는 다른 메타데이터와 함께 항상 Edge의 내부 승인 LDAP에 저장됩니다. 이 LDAP는 인증 LDAP (내부 또는 외부)와 완전히 별개입니다.
외부 LDAP를 통해 인증된 사용자는 승인 LDAP 시스템에 수동으로 프로비저닝해야 합니다. 자세한 내용은 이 문서에 설명되어 있습니다.
승인 및 RBAC에 대한 자세한 내용은 조직 사용자 관리 및 역할 할당을 참조하세요.
자세한 내용은 에지 인증 및 승인 흐름 이해도 참조하세요.
직접 및 간접 결합 인증의 이해
외부 승인 기능은 외부 LDAP 시스템을 통한 직접 및 간접 결합 인증을 모두 지원합니다.
요약: 간접 바인딩 인증을 사용하려면 외부 LDAP에서 로그인 시 사용자가 제공한 이메일 주소, 사용자 이름 또는 기타 ID와 일치하는 사용자 인증 정보를 검색해야 합니다. 직접 결합 인증을 사용하면 검색이 수행되지 않습니다. 사용자 인증 정보가 LDAP 서비스로 직접 전송되고 검증됩니다. 직접 바인딩 인증은 검색이 필요하지 않으므로 더 효율적인 것으로 간주됩니다.
간접 결합 인증 정보
간접 결합 인증을 통해 사용자가 이메일 주소, 사용자 이름, 기타 속성과 같은 사용자 인증 정보를 입력하면 Edge는 인증 시스템에서 이 사용자 인증 정보/값을 검색합니다. 검색 결과에 성공하면 시스템이 검색 결과에서 LDAP DN을 추출하고 제공된 비밀번호와 함께 사용하여 사용자를 인증합니다.
간접 바인딩 인증에는 호출자 (예: Apigee Edge)를 사용하여 Edge에서 외부 LDAP에 '로그인'하고 검색을 수행할 수 있도록 외부 LDAP 관리자 사용자 인증 정보를 제공합니다. 이 문서의 뒷부분에서 설명하는 Edge 구성 파일에 이러한 사용자 인증 정보를 제공해야 합니다. 비밀번호 사용자 인증 정보를 암호화하는 단계도 설명되어 있습니다.
직접 결합 인증 정보
직접 결합 인증을 사용하면 Edge는 사용자가 입력한 사용자 인증 정보를 외부 인증 시스템으로 직접 전송합니다. 이 경우 외부 시스템에서 검색이 수행되지 않습니다. 제공된 사용자 인증 정보가 성공하거나 실패합니다. 예를 들어 사용자가 외부 LDAP에 없거나 비밀번호가 잘못된 경우 로그인에 실패합니다.
직접 결합 인증에서는 간접 결합 인증과 마찬가지로 Apigee Edge에서 외부 인증 시스템의 관리자 사용자 인증 정보를 구성할 필요가 없습니다. 하지만 수행해야 하는 간단한 구성 단계가 있습니다. 이 단계는 외부 인증 구성에 설명되어 있습니다.
Apigee 커뮤니티 액세스
Apigee 커뮤니티는 Apigee를 비롯하여 다른 Apigee 고객에게 질문, 팁, 기타 문제를 문의할 수 있는 무료 리소스입니다. 커뮤니티에 게시하기 전에 먼저 기존 게시물을 검색하여 해당 질문에 대해 이미 답변된 적이 있는지를 확인합니다.