การตรวจสอบสิทธิ์ IDP (UI แบบคลาสสิก)

ส่วนนี้จะแสดงภาพรวมวิธีที่บริการไดเรกทอรีภายนอกผสานรวมกับ Apigee Edge สำหรับการติดตั้ง Private Cloud ที่มีอยู่ ฟีเจอร์นี้ออกแบบมาให้ทำงานร่วมกับบริการไดเรกทอรีทั้งหมดที่รองรับ LDAP เช่น Active Directory, OpenLDAP และอื่นๆ

โซลูชัน LDAP ภายนอกช่วยให้ผู้ดูแลระบบสามารถจัดการข้อมูลเข้าสู่ระบบของผู้ใช้จากบริการจัดการไดเรกทอรีแบบรวมศูนย์ ซึ่งไปยังภายนอกระบบอย่าง Apigee Edge ที่ใช้ข้อมูลดังกล่าวอยู่ ฟีเจอร์ที่อธิบายในเอกสารนี้รองรับการตรวจสอบสิทธิ์การเชื่อมโยงทั้งโดยตรงและโดยอ้อม

ดูวิธีการกำหนดค่าบริการไดเรกทอรีภายนอกโดยละเอียดได้ที่การกำหนดค่าการตรวจสอบสิทธิ์ภายนอก

ผู้ชม

เอกสารนี้จะถือว่าคุณเป็นผู้ดูแลระบบส่วนกลางของ Apigee Edge สำหรับ Private Cloud และคุณมีบัญชีบริการไดเรกทอรีภายนอก

ภาพรวม

โดยค่าเริ่มต้น Apigee Edge จะใช้อินสแตนซ์ OpenLDAP ภายในเพื่อจัดเก็บข้อมูลเข้าสู่ระบบที่ใช้สำหรับการตรวจสอบสิทธิ์ของผู้ใช้ อย่างไรก็ตาม คุณอาจกำหนดค่า Edge ให้ใช้บริการ LDAP สำหรับการตรวจสอบสิทธิ์ภายนอกแทนบริการภายในได้ ขั้นตอนสำหรับการกำหนดค่าภายนอกนี้มีอธิบายอยู่ในเอกสารนี้

Edge ยังจัดเก็บข้อมูลเข้าสู่ระบบการให้สิทธิ์การเข้าถึงตามบทบาทไว้ในอินสแตนซ์ LDAP ภายในที่แยกต่างหาก ไม่ว่าคุณจะกำหนดค่าบริการการตรวจสอบสิทธิ์ภายนอกหรือไม่ ข้อมูลเข้าสู่ระบบการให้สิทธิ์จะถูกเก็บไว้ในอินสแตนซ์ LDAP ภายในนี้เสมอ ขั้นตอนการเพิ่มผู้ใช้ที่อยู่ในระบบ LDAP ภายนอกไปยัง LDAP ของการให้สิทธิ์ Edge มีการอธิบายไว้ในเอกสารนี้

โปรดทราบว่าการตรวจสอบสิทธิ์หมายถึงการตรวจสอบข้อมูลประจำตัวของผู้ใช้ ส่วนการให้สิทธิ์หมายถึงการยืนยันระดับของสิทธิ์ที่ผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ได้รับเพื่อให้ใช้ฟีเจอร์ Apigee Edge

สิ่งที่คุณจำเป็นต้องทราบเกี่ยวกับการตรวจสอบสิทธิ์และการให้สิทธิ์ Edge

คุณควรเข้าใจความแตกต่างระหว่างการตรวจสอบสิทธิ์และการให้สิทธิ์และวิธีที่ Apigee Edge จัดการกิจกรรมทั้ง 2 อย่างนี้

เกี่ยวกับการตรวจสอบสิทธิ์

ผู้ใช้ที่เข้าถึง Apigee Edge ผ่าน UI หรือ API จะต้องผ่านการตรวจสอบสิทธิ์ โดยค่าเริ่มต้น ระบบจะจัดเก็บข้อมูลเข้าสู่ระบบของผู้ใช้ Edge สำหรับการตรวจสอบสิทธิ์ไว้ในอินสแตนซ์ OpenLDAP ภายใน โดยปกติแล้ว ผู้ใช้ต้องลงทะเบียนหรือได้รับแจ้งให้ลงทะเบียนบัญชี Apigee และในตอนนั้นผู้ใช้ต้องกรอกชื่อผู้ใช้ อีเมล ข้อมูลเข้าสู่ระบบของรหัสผ่าน และข้อมูลเมตาอื่นๆ ข้อมูลนี้จัดเก็บและจัดการโดย LDAP การตรวจสอบสิทธิ์

แต่หากต้องการใช้ LDAP ภายนอกเพื่อจัดการข้อมูลเข้าสู่ระบบของผู้ใช้ในนามของ Edge คุณจะทำได้ด้วยการกำหนดค่า Edge ให้ใช้ระบบ LDAP ภายนอกแทนระบบภายใน เมื่อกำหนดค่า LDAP ภายนอกแล้ว เราจะตรวจสอบข้อมูลเข้าสู่ระบบของผู้ใช้กับพื้นที่เก็บข้อมูลภายนอกดังกล่าว ตามที่อธิบายไว้ในเอกสารนี้

เกี่ยวกับการให้สิทธิ์

ผู้ดูแลระบบองค์กร Edge สามารถให้สิทธิ์ที่เฉพาะเจาะจงแก่ผู้ใช้เพื่อโต้ตอบกับเอนทิตี Apigee Edge เช่น พร็อกซี API, ผลิตภัณฑ์, แคช, การทำให้ใช้งานได้ และอื่นๆ คุณจะได้รับสิทธิ์ผ่านการมอบหมายบทบาทให้แก่ผู้ใช้ Edge มีบทบาทในตัวหลายบทบาท และผู้ดูแลระบบองค์กรจะกำหนดบทบาทที่กำหนดเองได้หากจำเป็น ตัวอย่างเช่น ผู้ใช้อาจได้รับการให้สิทธิ์ (ผ่านบทบาท) เพื่อสร้างและอัปเดตพร็อกซี API แต่จะทําให้พร็อกซีใช้งานได้ในสภาพแวดล้อมที่ใช้งานจริงไม่ได้

ข้อมูลเข้าสู่ระบบคีย์ที่ใช้โดยระบบการให้สิทธิ์ Edge คืออีเมลของผู้ใช้ ข้อมูลเข้าสู่ระบบนี้ (พร้อมด้วยข้อมูลเมตาอื่นๆ) จะจัดเก็บไว้ใน LDAP การให้สิทธิ์ภายในของ Edge เสมอ LDAP นี้จะแยกจาก LDAP การตรวจสอบสิทธิ์ทั้งหมด (ไม่ว่าจะภายในหรือภายนอก)

ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ผ่าน LDAP ภายนอกต้องได้รับการจัดสรรในระบบ LDAP ของการให้สิทธิ์ด้วยตนเอง เราได้อธิบายรายละเอียดไว้ในเอกสารนี้

หากต้องการทราบข้อมูลพื้นฐานเพิ่มเติมเกี่ยวกับการให้สิทธิ์และ RBAC โปรดดูการจัดการผู้ใช้ ในองค์กรและการมอบหมายบทบาท

หากต้องการดูข้อมูลที่ละเอียดขึ้น โปรดดูการทำความเข้าใจขั้นตอนการตรวจสอบสิทธิ์และการให้สิทธิ์ Edge

ทำความเข้าใจการตรวจสอบสิทธิ์การเชื่อมโยงทั้งโดยตรงและโดยอ้อม

ฟีเจอร์การให้สิทธิ์ภายนอกรองรับการตรวจสอบสิทธิ์การเชื่อมโยงทั้งโดยตรงและโดยอ้อมผ่านระบบ LDAP ภายนอก

ข้อมูลสรุป: การตรวจสอบสิทธิ์การเชื่อมโยงทางอ้อมจําเป็นต้องมีการค้นหาข้อมูลเข้าสู่ระบบใน LDAP ภายนอกที่ตรงกับอีเมล ชื่อผู้ใช้ หรือรหัสอื่นๆ ที่ผู้ใช้ให้ไว้เมื่อเข้าสู่ระบบ เมื่อใช้การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรง จะไม่มีการดำเนินการค้นหา โดยระบบจะส่งและตรวจสอบข้อมูลรับรองโดยบริการ LDAP โดยตรง การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรงมีประสิทธิภาพมากกว่าเนื่องจากไม่มีการค้นหาเข้ามาเกี่ยวข้อง

เกี่ยวกับการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อม

เมื่อใช้การตรวจสอบสิทธิ์แบบเชื่อมโยงโดยอ้อม ผู้ใช้จะป้อนข้อมูลเข้าสู่ระบบ เช่น อีเมล ชื่อผู้ใช้ หรือแอตทริบิวต์อื่นๆ และระบบการตรวจสอบสิทธิ์การค้นหา Edge สำหรับข้อมูลเข้าสู่ระบบ/ค่านี้ ถ้าผลการค้นหาเสร็จสมบูรณ์ ระบบจะแยก DN ของ LDAP จากผลการค้นหาและใช้ด้วยรหัสผ่านที่มีให้เพื่อตรวจสอบสิทธิ์ผู้ใช้

ประเด็นสำคัญที่ต้องทราบคือการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อมต้องใช้ผู้เรียกใช้ (เช่น Apigee Edge) เพื่อระบุข้อมูลเข้าสู่ระบบของผู้ดูแลระบบ LDAP ภายนอกเพื่อให้ Edge "เข้าสู่ระบบ" ของ LDAP ภายนอกและค้นหาได้ คุณต้องระบุข้อมูลเข้าสู่ระบบเหล่านี้ในไฟล์การกำหนดค่า Edge ซึ่งอธิบายไว้ภายหลังในเอกสารนี้ นอกจากนี้ ยังมีอธิบายขั้นตอนสำหรับการเข้ารหัสข้อมูลเข้าสู่ระบบของรหัสผ่านด้วย

เกี่ยวกับการตรวจสอบสิทธิ์การเชื่อมโยงโดยตรง

เมื่อมีการตรวจสอบสิทธิ์การเชื่อมโยงโดยตรง Edge จะส่งข้อมูลเข้าสู่ระบบที่ผู้ใช้ป้อนไปยังระบบการตรวจสอบสิทธิ์ภายนอกโดยตรง ในกรณีนี้ จะไม่มีการทำการค้นหาในระบบภายนอก ข้อมูลเข้าสู่ระบบที่ระบุสำเร็จหรือไม่สำเร็จ (เช่น หากผู้ใช้ไม่อยู่ใน LDAP ภายนอกหรือหากรหัสผ่านไม่ถูกต้อง การเข้าสู่ระบบจะล้มเหลว)

การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรงไม่ได้กำหนดให้คุณกำหนดค่าข้อมูลเข้าสู่ระบบของผู้ดูแลระบบสำหรับระบบการตรวจสอบสิทธิ์ภายนอกใน Apigee Edge (เช่นเดียวกับการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อม) อย่างไรก็ตาม คุณต้องทำขั้นตอนการกำหนดค่าง่ายๆ ตามที่อธิบายไว้ในการกำหนดค่าการตรวจสอบสิทธิ์ภายนอก

เข้าถึงชุมชน Apigee

ชุมชน Apigee เป็นแหล่งข้อมูลฟรีที่คุณสามารถติดต่อ Apigee รวมถึงลูกค้า Apigee รายอื่นๆ หากคุณมีคำถาม เคล็ดลับ และปัญหาอื่นๆ ก่อนจะโพสต์ไปยังชุมชน อย่าลืมค้นหาโพสต์ที่มีอยู่เพื่อดูว่าคำถามของคุณมีการตอบคำถามแล้วหรือยัง