本節概略說明外部目錄服務如何與適用於 Private Cloud 的現有 Apigee Edge 整合。這項功能適用於任何支援 LDAP 的目錄服務,例如 Active Directory、OpenLDAP 等。
外部 LDAP 解決方案可讓系統管理員從集中式目錄管理服務 (而非 Apigee Edge 等使用這類目錄的系統) 管理使用者憑證。本文所述的功能支援直接和間接繫結驗證。
如需設定外部目錄服務的詳細操作說明,請參閱「設定外部驗證」。
觀眾
本文假設您是適用於 Private Cloud 全域系統管理員的 Apigee Edge,且您擁有外部目錄服務。
總覽
根據預設,Apigee Edge 會使用內部 OpenLDAP 執行個體來儲存用於使用者驗證的憑證。不過,您可以將 Edge 設為使用外部驗證 LDAP 服務,而非內部驗證服務。本文件會說明這項外部設定的程序。
Edge 也會將角色型存取授權憑證儲存在獨立的內部 LDAP 執行個體中。無論是否設定外部驗證服務,授權憑證都「一律」儲存在這個內部 LDAP 執行個體中。本文說明如何將外部 LDAP 系統中的使用者新增至 Edge 授權 LDAP。
請注意,「驗證」是指驗證使用者身分,而「授權」則是指驗證已驗證使用者授予使用 Apigee Edge 功能的權限層級。
Edge 驗證和授權須知
瞭解驗證和授權之間的差異,以及 Apigee Edge 管理這兩項活動的方式會很有幫助。
關於驗證
透過 UI 或 API 存取 Apigee Edge 的使用者,都必須通過驗證。根據預設,用於驗證的 Edge 使用者憑證會儲存在內部的 OpenLDAP 執行個體中。一般而言,使用者必須註冊或要求註冊 Apigee 帳戶,屆時他們必須提供使用者名稱、電子郵件地址、密碼憑證和其他中繼資料。這項資訊會儲存在驗證 LDAP 中並由其管理。
不過,如果您想使用外部 LDAP 來代表 Edge 管理使用者憑證,可以將 Edge 設定為使用外部 LDAP 系統,而非內部 LDAP 系統。設定外部 LDAP 時,系統會根據該外部儲存庫驗證使用者憑證,詳情請參閱本文說明。
關於授權
Edge 機構管理員可以授予使用者特定權限,以與 API Proxy、產品、快取、部署等 Apigee Edge 實體互動。而是透過指派角色給使用者。Edge 包含多個內建角色,如有需要,機構管理員可以定義自訂角色。例如,使用者可以授權 (透過角色) 建立及更新 API Proxy,但無法將 Proxy 部署至正式環境。
Edge 授權系統使用的金鑰憑證是使用者的電子郵件地址。此憑證 (和一些其他中繼資料) 一律儲存在 Edge 的內部授權 LDAP 中。這個 LDAP 與驗證 LDAP (無論是內部或外部) 完全獨立。
透過外部 LDAP 進行驗證的使用者也必須手動佈建到授權 LDAP 系統。詳情請參閱本文件。
如要進一步瞭解授權和 RBAC,請參閱管理機構使用者和指派角色。
如需深入瞭解,另請參閱瞭解邊緣驗證和授權流程。
瞭解直接和間接繫結驗證
外部授權功能透過外部 LDAP 系統支援「直接」和「間接」繫結驗證。
摘要:在外部 LDAP 上搜尋憑證,須與使用者在登入時提供的電子郵件地址、使用者名稱或其他 ID 相符,才能進行間接繫結驗證。使用直接繫結驗證功能時,系統不會執行任何搜尋,憑證會直接傳送至 LDAP 服務並進行驗證。由於不需搜尋,因此直接繫結驗證作業更有效率。
關於間接繫結驗證
使用間接繫結驗證功能時,使用者會輸入憑證,例如電子郵件地址、使用者名稱或其他屬性,Edge 隨即會搜尋這個憑證/值的驗證系統。如果搜尋結果成功,系統會從搜尋結果中擷取 LDAP DN,並使用提供的密碼驗證使用者。
重點是,間接繫結驗證需要呼叫端 (例如Apigee Edge) 提供外部 LDAP 管理員憑證,以便 Edge「登入」外部 LDAP 並執行搜尋。您必須在 Edge 設定檔中提供這些憑證,本文件後續章節會說明。另說明加密密碼憑證的步驟。
關於直接繫結驗證
使用直接繫結驗證功能時,Edge 會將使用者輸入的憑證直接傳送至外部驗證系統。在此情況下,系統不會對外部系統執行搜尋。 提供的憑證是否成功或失敗 (例如,如果使用者不在外部 LDAP 中,或是密碼不正確,登入就會失敗)。
使用直接繫結驗證時,您無須在 Apigee Edge 中設定外部驗證系統的管理員憑證 (就像間接繫結驗證),但必須執行一個簡單的設定步驟,詳情請參閱設定外部驗證一文。
存取 Apigee 社群
Apigee 社群是一項免費資源,可讓您針對問題、秘訣和其他問題,與 Apigee 和其他 Apigee 客戶聯絡。張貼至社群前,請務必先搜尋現有的貼文,看看您的問題是否已有解答。