W tej sekcji znajdziesz omówienie sposobu integracji zewnętrznych usług katalogowych z istniejącą instalacją Apigee Edge for Private Cloud. Ta funkcja jest przeznaczona do współpracy z każdą usługą katalogową, która obsługuje LDAP, na przykład Active Directory czy OpenLDAP.
Zewnętrzne rozwiązanie LDAP umożliwia administratorom systemu zarządzanie danymi logowania użytkowników za pomocą scentralizowanej usługi zarządzania katalogami, poza systemami takimi jak Apigee Edge, które z nich korzystają. Funkcja opisana w tym dokumencie obsługuje uwierzytelnianie zarówno bezpośrednio, jak i pośrednio.
Szczegółowe instrukcje konfigurowania zewnętrznej usługi katalogowej znajdziesz w artykule Konfigurowanie uwierzytelniania zewnętrznego.
Odbiorcy
W tym dokumencie zakładamy, że jesteś administratorem globalnego systemu Apigee Edge for Private Cloud i masz konto zewnętrznej usługi katalogowej.
Przegląd
Domyślnie Apigee Edge używa wewnętrznej instancji OpenLDAP do przechowywania danych logowania, które są używane do uwierzytelniania użytkowników. Możesz jednak skonfigurować w Edge używanie zewnętrznej usługi LDAP do uwierzytelniania zamiast wewnętrznej. Procedura dotycząca tej konfiguracji zewnętrznej została objaśniona w tym dokumencie.
Edge przechowuje też dane logowania do autoryzacji dostępu opartego na rolach w oddzielnej, wewnętrznej instancji LDAP. Niezależnie od tego, czy skonfigurujesz zewnętrzną usługę uwierzytelniania, dane uwierzytelniające są zawsze przechowywane w tej wewnętrznej instancji LDAP. W tym dokumencie wyjaśniono procedurę dodawania kont użytkowników istniejących w zewnętrznym systemie LDAP do autoryzacji LDAP do autoryzacji Edge.
Pamiętaj, że uwierzytelnianie odnosi się do weryfikowania tożsamości użytkownika, a autoryzacja – do weryfikowania poziomu uprawnień, które uwierzytelniony użytkownik ma przyznane na potrzeby korzystania z funkcji Apigee Edge.
Co musisz wiedzieć o uwierzytelnianiu i autoryzowaniu brzegowym
Warto znać różnicę między uwierzytelnianiem a autoryzacją oraz wiedzieć, jak Apigee Edge zarządza tymi 2 działaniami.
Informacje o uwierzytelnianiu
Użytkownicy, którzy uzyskują dostęp do Apigee Edge za pomocą interfejsu użytkownika lub interfejsów API, muszą być uwierzytelnieni. Domyślnie dane logowania użytkownika Edge na potrzeby uwierzytelniania są przechowywane w wewnętrznej instancji OpenLDAP. Zwykle użytkownicy muszą zarejestrować konto Apigee lub zostać poproszeni o jego zarejestrowanie i podać nazwę użytkownika, adres e-mail, hasło i inne metadane. Te informacje są przechowywane w usłudze LDAP uwierzytelniania i zarządzane przez tę usługę.
Jeśli jednak chcesz używać zewnętrznego serwera LDAP do zarządzania danymi logowania użytkowników w imieniu Edge, możesz skonfigurować Edge tak, aby używała zewnętrznego systemu LDAP, a nie wewnętrznego. Po skonfigurowaniu zewnętrznego serwera LDAP dane logowania użytkownika są sprawdzane z tym magazynem zewnętrznym, zgodnie z opisem w tym dokumencie.
Informacje o autoryzacji
Administratorzy organizacji brzegowych mogą przyznawać użytkownikom określone uprawnienia do interakcji z encjami Apigee Edge, takimi jak serwery proxy interfejsu API, usługi, pamięci podręczne, wdrożenia itp. Uprawnienia są przyznawane przez przypisanie ról użytkownikom. Edge ma kilka wbudowanych ról, a w razie potrzeby administratorzy organizacji mogą definiować role niestandardowe. Użytkownikowi można na przykład przyznać (przez rolę) autoryzację do tworzenia i aktualizowania serwerów proxy interfejsów API, ale nie do wdrażania ich w środowisku produkcyjnym.
Dane logowania klucza używane przez system autoryzacji Edge to adres e-mail użytkownika. Te dane logowania (wraz z niektórymi innymi metadanymi) są zawsze przechowywane w wewnętrznym katalogu LDAP autoryzacji Edge. Ten protokół LDAP jest całkowicie niezależny od protokołu LDAP uwierzytelniania (wewnętrznego lub zewnętrznego).
Użytkownicy uwierzytelnieni przy użyciu zewnętrznego protokołu LDAP muszą też ręcznie otrzymać dostęp do systemu LDAP autoryzacji. Szczegóły zostały opisane w tym dokumencie.
Więcej informacji o autoryzacji i RBAC znajdziesz w artykułach Zarządzanie użytkownikami w organizacji i Przypisywanie ról.
Więcej informacji znajdziesz w artykule Omówienie przepływów uwierzytelniania i autoryzacji w Edge.
Omówienie bezpośredniego i pośredniego uwierzytelniania
Funkcja autoryzacji zewnętrznej obsługuje uwierzytelnianie wiązań bezpośrednich i pośrednich przez zewnętrzny system LDAP.
Podsumowanie: uwierzytelnianie pośredniego wiązania wymaga wyszukania w zewnętrznym katalogu LDAP danych logowania zgodnych z adresem e-mail, nazwą użytkownika lub innym identyfikatorem podanymi przez użytkownika podczas logowania. W przypadku uwierzytelniania bezpośredniego wiązania nie jest wykonywane żadne wyszukiwanie – dane logowania są wysyłane bezpośrednio do usługi LDAP i weryfikowane przez nią. Uwierzytelnianie bezpośredniego wiązania uważa się za bardziej efektywne, ponieważ nie wymaga wyszukiwania.
Informacje o uwierzytelnianiu pośredniego wiązania
W przypadku uwierzytelniania pośredniego wiązania użytkownik wpisuje dane logowania, takie jak adres e-mail, nazwę użytkownika lub inny atrybut, a następnie wyszukuje te dane w systemie uwierzytelniania przez Edge. Jeśli wyszukiwanie zakończy się powodzeniem, system wyodrębni nazwę wyróżniającą LDAP z wyników wyszukiwania i użyje jej z podanym hasłem do uwierzytelnienia użytkownika.
Pamiętaj, że uwierzytelnianie pośredniego wiązania wymaga wywołującego (np. Apigee Edge), aby udostępnić zewnętrzne dane logowania administratora LDAP, aby przeglądarka Edge mogła „zalogować się” w zewnętrznym katalogu LDAP i przeprowadzić wyszukiwanie. Te dane należy podać w pliku konfiguracji Edge, który został opisany w dalszej części tego dokumentu. Opisano też kroki szyfrowania danych logowania hasła.
Informacje o uwierzytelnianiu bezpośredniego wiązania
W przypadku uwierzytelniania bezpośredniego wiązania Edge wysyła dane logowania wpisane przez użytkownika bezpośrednio do zewnętrznego systemu uwierzytelniania. W takim przypadku w systemie zewnętrznym nie jest przeprowadzane żadne wyszukiwanie. Podane dane logowania są poprawne lub nie powiodą się (np. jeśli użytkownika nie ma w zewnętrznym LDAP lub hasło jest nieprawidłowe, logowanie się nie powiedzie).
Uwierzytelnianie bezpośredniego wiązania nie wymaga konfigurowania danych logowania administratora na potrzeby zewnętrznego systemu uwierzytelniania w Apigee Edge (tak jak w przypadku uwierzytelniania pośredniego). Musisz jednak wykonać prosty krok konfiguracji, który został opisany w sekcji Konfigurowanie uwierzytelniania zewnętrznego.
Dostęp do społeczności Apigee
Społeczność Apigee to bezpłatne źródło informacji, w którym możesz kontaktować się z Apigee, a także innymi użytkownikami Apigee, zadając im pytania, uzyskując wskazówki i inne problemy. Zanim opublikujesz posta w społeczności, przejrzyj dostępne posty, aby sprawdzić, czy nie ma już odpowiedzi na Twoje pytanie.