Phần này cung cấp thông tin tổng quan về cách các dịch vụ thư mục bên ngoài tích hợp với ứng dụng Apigee Edge hiện có để cài đặt Đám mây riêng tư. Tính năng này được thiết kế để hoạt động với mọi dịch vụ thư mục hỗ trợ Giao thức truy cập thư mục hạng nhẹ (LDAP), chẳng hạn như Active Directory, OpenLDAP và các dịch vụ khác.
Giải pháp Giao thức truy cập thư mục hạng nhẹ (LDAP) bên ngoài cho phép quản trị viên hệ thống quản lý thông tin đăng nhập của người dùng qua một dịch vụ quản lý thư mục tập trung, bên ngoài các hệ thống như Apigee Edge. Tính năng mà chúng tôi mô tả trong tài liệu này hỗ trợ cả việc xác thực liên kết trực tiếp và gián tiếp.
Để biết hướng dẫn chi tiết về cách định cấu hình dịch vụ thư mục bên ngoài, hãy xem phần Định cấu hình xác thực bên ngoài.
Đối tượng người xem
Tài liệu này giả định rằng bạn là một Apigee Edge dành cho quản trị viên hệ thống toàn cầu của Private Cloud và bạn có một tài khoản sử dụng dịch vụ thư mục bên ngoài.
Tổng quan
Theo mặc định, Apigee Edge sử dụng một thực thể OpenLDAP nội bộ để lưu trữ thông tin đăng nhập dùng cho quá trình xác thực người dùng. Tuy nhiên, bạn có thể định cấu hình cho Edge để sử dụng dịch vụ LDAP xác thực bên ngoài thay vì dịch vụ nội bộ. Tài liệu này giải thích về quy trình cho cấu hình bên ngoài này.
Edge cũng lưu trữ thông tin xác thực uỷ quyền dựa trên vai trò trong một thực thể LDAP nội bộ riêng biệt. Dù bạn có định cấu hình dịch vụ xác thực bên ngoài hay không, thông tin xác thực cấp quyền luôn được lưu trữ trong phiên bản LDAP nội bộ này. Tài liệu này giải thích quy trình thêm người dùng tồn tại trong hệ thống LDAP bên ngoài vào LDAP uỷ quyền cho Edge.
Xin lưu ý rằng xác thực là việc xác thực danh tính của người dùng, còn việc uỷ quyền là xác minh cấp độ quyền mà một người dùng đã xác thực được cấp để sử dụng các tính năng của Apigee Edge.
Những điều bạn cần biết về tính năng xác thực và uỷ quyền cạnh
Bạn nên tìm hiểu sự khác biệt giữa xác thực và uỷ quyền, cũng như cách Apigee Edge quản lý hai hoạt động này.
Giới thiệu về tính năng xác thực
Những người dùng truy cập vào Apigee Edge thông qua giao diện người dùng hoặc API phải được xác thực. Theo mặc định, thông tin đăng nhập của người dùng Edge để xác thực được lưu trữ trong một phiên bản OpenLDAP nội bộ. Thông thường, người dùng phải đăng ký hoặc được yêu cầu đăng ký tài khoản Apigee. Khi đó, họ sẽ cung cấp tên người dùng, địa chỉ email, thông tin đăng nhập mật khẩu và các siêu dữ liệu khác. Thông tin này được lưu trữ trong và do LDAP xác thực quản lý.
Tuy nhiên, nếu bạn muốn sử dụng LDAP bên ngoài để thay mặt cho Edge quản lý thông tin đăng nhập của người dùng, thì bạn có thể thực hiện việc này bằng cách định cấu hình Edge để sử dụng hệ thống LDAP bên ngoài thay vì hệ thống nội bộ. Khi định cấu hình LDAP bên ngoài, thông tin đăng nhập của người dùng sẽ được xác thực dựa trên cửa hàng bên ngoài đó, như giải thích trong tài liệu này.
Giới thiệu về việc uỷ quyền
Quản trị viên của tổ chức Edge có thể cấp các quyền cụ thể cho người dùng để tương tác với các thực thể Apigee Edge như proxy API, sản phẩm, bộ nhớ đệm, bản triển khai, v.v. Quyền được cấp thông qua việc chỉ định vai trò cho người dùng. Edge có một số vai trò tích hợp sẵn. Nếu cần, quản trị viên tổ chức có thể xác định vai trò tuỳ chỉnh. Ví dụ: người dùng có thể được cấp quyền (thông qua một vai trò) để tạo và cập nhật các proxy API, nhưng không được triển khai các proxy đó cho môi trường phát hành chính thức.
Thông tin đăng nhập khoá mà hệ thống uỷ quyền của Edge sử dụng là địa chỉ email của người dùng. Thông tin đăng nhập này (cùng với một số siêu dữ liệu khác) luôn được lưu trữ trong LDAP uỷ quyền nội bộ của Edge. Giao thức truy cập thư mục hạng nhẹ (LDAP) này hoàn toàn tách biệt với LDAP xác thực (dù là giao thức nội bộ hay bên ngoài).
Những người dùng được xác thực thông qua một LDAP bên ngoài cũng phải được cấp phép theo cách thủ công vào hệ thống LDAP uỷ quyền. Thông tin chi tiết được giải thích trong tài liệu này.
Để biết thêm thông tin về việc uỷ quyền và RBAC, hãy xem phần Quản lý người dùng trong tổ chức và Chỉ định vai trò.
Để tìm hiểu sâu hơn, hãy xem thêm bài viết Tìm hiểu các quy trình xác thực và uỷ quyền của Edge.
Tìm hiểu về phương thức xác thực liên kết trực tiếp và gián tiếp
Tính năng uỷ quyền bên ngoài hỗ trợ cả phương thức xác thực liên kết trực tiếp và gián tiếp thông qua hệ thống LDAP bên ngoài.
Tóm tắt: Phương thức xác thực liên kết gián tiếp yêu cầu bạn tìm kiếm thông tin xác thực khớp với địa chỉ email, tên người dùng hoặc mã nhận dạng khác mà người dùng cung cấp khi đăng nhập trên Giao thức xác thực liên kết gián tiếp. Với xác thực liên kết trực tiếp, không có tìm kiếm nào được thực hiện--thông tin đăng nhập được gửi đến và được dịch vụ LDAP xác thực trực tiếp. Phương pháp xác thực liên kết trực tiếp được xem là hiệu quả hơn vì không cần phải tìm kiếm.
Giới thiệu về phương thức xác thực liên kết gián tiếp
Với phương thức xác thực liên kết gián tiếp, người dùng nhập thông tin đăng nhập (chẳng hạn như địa chỉ email, tên người dùng hoặc một thuộc tính khác) và Edge tìm kiếm hệ thống xác thực để tìm thông tin đăng nhập/giá trị này. Nếu kết quả tìm kiếm thành công, hệ thống sẽ trích xuất mã DN LDAP từ kết quả tìm kiếm rồi dùng mã này với mật khẩu được cung cấp để xác thực người dùng.
Điểm quan trọng cần biết là phương thức xác thực liên kết gián tiếp cần có phương thức gọi (ví dụ: Apigee Edge) để cung cấp thông tin đăng nhập của quản trị viên Giao thức truy cập thư mục hạng nhẹ (LDAP) bên ngoài để Edge có thể "đăng nhập" vào Giao thức truy cập thư mục hạng nhẹ (LDAP) bên ngoài và thực hiện tìm kiếm. Bạn phải cung cấp các thông tin đăng nhập này trong tệp cấu hình Edge. Tệp này sẽ được mô tả ở phần sau của tài liệu này. Các bước cũng được mô tả để mã hoá thông tin xác thực mật khẩu.
Giới thiệu về phương thức xác thực liên kết trực tiếp
Với phương thức xác thực liên kết trực tiếp, Edge gửi thông tin xác thực mà người dùng nhập trực tiếp đến hệ thống xác thực bên ngoài. Trong trường hợp này, không có thao tác tìm kiếm nào được thực hiện trên hệ thống bên ngoài. Thông tin đăng nhập đã cung cấp sẽ thành công hoặc không thành công (ví dụ: nếu người dùng không có trong Giao thức truy cập thư mục hạng nhẹ (LDAP) bên ngoài hoặc nếu mật khẩu không chính xác, thì quá trình đăng nhập sẽ không thành công).
Phương thức xác thực liên kết trực tiếp không yêu cầu bạn phải định cấu hình thông tin đăng nhập của quản trị viên cho hệ thống xác thực bên ngoài trong Apigee Edge (giống như phương thức xác thực liên kết gián tiếp); tuy nhiên, bạn phải thực hiện một bước định cấu hình đơn giản theo mô tả trong phần Định cấu hình xác thực bên ngoài.
Tiếp cận cộng đồng Apigee
Cộng đồng Apigee là một nguồn tài nguyên miễn phí để bạn có thể liên hệ với Apigee cũng như những khách hàng khác của Apigee khi có thắc mắc, mẹo hay và các vấn đề khác. Trước khi đăng lên cộng đồng, hãy nhớ tìm kiếm các bài đăng hiện có để xem câu hỏi của bạn đã được giải đáp hay chưa.