Bu bölümde, harici dizin hizmetlerinin mevcut bir Apigee Edge for Private Cloud kurulumuyla nasıl entegre olduğuna dair genel bir bakış sunulmaktadır. Bu özellik, LDAP'yi destekleyen Active Directory ve OpenLDAP gibi tüm dizin hizmetleriyle çalışacak şekilde tasarlanmıştır.
Harici bir LDAP çözümü, sistem yöneticilerinin, kullanıcı kimlik bilgilerini merkezi bir dizin yönetimi hizmetinden (bu bilgileri kullanan Apigee Edge gibi sistemlerin dışında) yönetmesine olanak tanır. Bu dokümanda açıklanan özellik, hem doğrudan hem de dolaylı bağlamayla kimlik doğrulamayı destekler.
Harici bir dizin hizmetinin yapılandırılmasıyla ilgili ayrıntılı talimatlar için Harici kimlik doğrulamasını yapılandırma bölümüne bakın.
Kitle
Bu dokümanda, Private Cloud için Apigee Edge küresel sistem yöneticisi olduğunuz ve harici dizin hizmeti için bir hesabınız olduğu varsayılmaktadır.
Genel bakış
Apigee Edge varsayılan olarak kullanıcı kimlik doğrulaması için kullanılan kimlik bilgilerini depolamak için dahili bir OpenLDAP örneği kullanır. Ancak Edge'i dahili hizmet yerine harici kimlik doğrulama LDAP hizmeti kullanacak şekilde yapılandırabilirsiniz. Söz konusu harici yapılandırmaya ilişkin prosedür bu dokümanda açıklanmaktadır.
Edge, rol tabanlı erişim yetkilendirme kimlik bilgilerini ayrı bir dahili LDAP örneğinde de saklar. Harici bir kimlik doğrulama hizmeti yapılandırıp yapılandırmamanızdan bağımsız olarak, yetkilendirme kimlik bilgileri her zaman bu dahili LDAP örneğinde depolanır. Harici LDAP sisteminde bulunan kullanıcıları Uç yetkilendirme LDAP'sine ekleme prosedürü bu dokümanda açıklanmıştır.
Kimlik doğrulama, kullanıcının kimliğini doğrulamayı ifade eder. Yetkilendirme ise kimliği doğrulanmış bir kullanıcıya Apigee Edge özelliklerini kullanmak için verilen izin düzeyinin doğrulanması anlamına gelir.
Edge kimlik doğrulaması ve yetkilendirme hakkında bilmeniz gerekenler
Kimlik doğrulama ve yetkilendirme arasındaki farkın yanı sıra Apigee Edge'in bu iki etkinliği nasıl yönettiğini anlamanız önemlidir.
Kimlik doğrulama hakkında
Apigee Edge'e kullanıcı arayüzü veya API'ler üzerinden erişen kullanıcıların kimliği doğrulanmalıdır. Varsayılan olarak, kimlik doğrulama için Edge kullanıcı kimlik bilgileri dahili bir OpenLDAP örneğinde depolanır. Genellikle, kullanıcılardan Apigee hesabına kaydolmaları veya kaydolmaları istenmelidir. Bu sırada kullanıcı adlarını, e-posta adreslerini, şifre kimlik bilgilerini ve diğer meta verileri sağlarlar. Bu bilgiler kimlik doğrulama LDAP'sinde depolanır ve yönetilir.
Bununla birlikte, Edge adına kullanıcı kimlik bilgilerini yönetmek için harici bir LDAP kullanmak istiyorsanız Edge'i dahili sistem yerine harici LDAP sistemini kullanacak şekilde yapılandırarak bunu yapabilirsiniz. Harici bir LDAP yapılandırıldığında, kullanıcı kimlik bilgileri bu dokümanda açıklandığı gibi bu harici depoya göre doğrulanır.
Yetkilendirme hakkında
Uç kuruluş yöneticileri; kullanıcılara API proxy'leri, ürünler, önbellekler, dağıtımlar gibi Apigee Edge varlıklarıyla etkileşimde bulunmaları için belirli izinler verebilir. İzinler, kullanıcılara rollerin atanması yoluyla verilir. Edge'de birkaç yerleşik rol bulunur. Gerekirse kuruluş yöneticileri özel roller tanımlayabilir. Örneğin, bir kullanıcıya API proxy'leri oluşturma ve güncelleme yetkisi (bir rol üzerinden) verilebilir, ancak bunları bir üretim ortamına dağıtamaz.
Edge yetkilendirme sistemi tarafından kullanılan anahtar kimlik bilgisi kullanıcının e-posta adresidir. Bu kimlik bilgisi (diğer meta verilerle birlikte) her zaman Edge'in dahili yetkilendirme LDAP'sinde depolanır. Bu LDAP, kimlik doğrulama amaçlı LDAP'den (dahili veya harici) tamamen ayrıdır.
Harici bir LDAP aracılığıyla kimliği doğrulanan kullanıcıların temel hazırlığını, yetkilendirme LDAP sistemine manuel olarak da yapmanız gerekir. Ayrıntılar bu belgede açıklanmıştır.
Yetkilendirme ve RBAC hakkında daha fazla bilgi için Kuruluş kullanıcılarını yönetme ve Rol atama bölümlerine bakın.
Daha ayrıntılı bilgi için Edge kimlik doğrulama ve yetkilendirme akışlarını anlama bölümüne de göz atın.
Doğrudan ve dolaylı bağlama kimlik doğrulamasını anlama
Harici yetkilendirme özelliği, harici LDAP sistemi üzerinden hem doğrudan hem de dolaylı bağlama kimlik doğrulamasını destekler.
Özet: Dolaylı bağlama kimlik doğrulaması, harici LDAP'de, giriş sırasında kullanıcı tarafından sağlanan e-posta adresi, kullanıcı adı veya diğer kimliklerle eşleşen kimlik bilgileri için arama yapılmasını gerektirir. Doğrudan bağlama kimlik doğrulamasıyla hiçbir arama yapılmaz. Kimlik bilgileri doğrudan LDAP hizmetine gönderilir ve bu hizmet tarafından doğrulanır. Doğrudan bağlama kimlik doğrulaması, arama yapılmadığı için daha etkili olarak kabul edilir.
Dolaylı bağlama kimlik doğrulaması hakkında
Dolaylı bağlama kimlik doğrulaması sayesinde kullanıcı, e-posta adresi, kullanıcı adı veya başka bir özellik gibi bir kimlik bilgisi girer. Edge, bu kimlik bilgisi/değer için kimlik doğrulama sisteminde arama yapar. Arama sonucu başarılı olursa sistem, arama sonuçlarından LDAP DN'yi çıkarır ve kullanıcının kimliğini doğrulamak için bu bilgiyi sağlanan şifreyle kullanır.
Dolaylı bağlama kimlik doğrulamasının, arayanın (ör. Apigee Edge) harici LDAP yönetici kimlik bilgilerini sağlar. Bu kimlik bilgilerini, bu belgenin ilerleyen bölümlerinde açıklanan bir Edge yapılandırma dosyasında sağlamanız gerekir. Şifre kimlik bilgisinin şifrelenmesine ilişkin adımlar da açıklanmıştır.
Doğrudan bağlama kimlik doğrulaması hakkında
Doğrudan bağlama kimlik doğrulaması sayesinde Edge, bir kullanıcı tarafından girilen kimlik bilgilerini doğrudan harici kimlik doğrulama sistemine gönderir. Bu durumda, harici sistemde arama yapılmaz. Sağlanan kimlik bilgileri başarılı veya başarısız olur (ör. kullanıcı harici LDAP'de yoksa veya şifre yanlışsa giriş başarısız olur).
Doğrudan bağlama kimlik doğrulaması, Apigee Edge'deki harici kimlik doğrulama sistemi için yönetici kimlik bilgilerini yapılandırmanıza gerek yoktur (dolaylı bağlı kimlik doğrulamada olduğu gibi), ancak Harici kimlik doğrulamayı yapılandırma bölümünde açıklanan basit bir yapılandırma adımını gerçekleştirmeniz gerekir.
Apigee topluluğuna erişme
Apigee Topluluğu, Apigee'nin yanı sıra diğer Apigee müşterileriyle iletişime geçerek soru, ipucu ve diğer konularda iletişime geçebileceğiniz ücretsiz bir kaynaktır. Toplulukta yayınlamadan önce sorunuzun yanıtlanmış olup olmadığını görmek için mevcut yayınlarda arama yapın.