Cette section présente l'intégration des services d'annuaire externes à une installation Apigee Edge pour le cloud privé existante. Cette fonctionnalité est conçue pour fonctionner service d’annuaire prenant en charge LDAP, comme Active Directory, OpenLDAP, etc.
Une solution LDAP externe permet aux administrateurs système de gérer les identifiants des utilisateurs un service de gestion d’annuaire centralisé, externe aux systèmes comme Apigee Edge qui les utilisent. La la fonctionnalité décrite dans ce document prend en charge les liaisons directes et indirectes l'authentification unique.
Pour des instructions détaillées sur la configuration d'un service d'annuaire externe, consultez Configuration externe authentification.
Audience
Ce document suppose que vous êtes un système mondial Apigee Edge pour Private Cloud administrateur et que vous disposez d’un compte pour le service d’annuaire externe.
Présentation
Par défaut, Apigee Edge utilise une instance OpenLDAP interne pour stocker les identifiants utilisés pour l'authentification des utilisateurs. Cependant, vous pouvez configurer Edge pour utiliser service LDAP d'authentification externe au lieu du service interne. La procédure de cette configuration externe est expliquée dans ce document.
Edge stocke également les identifiants d'autorisation d'accès basé sur les rôles dans une instance LDAP interne distincte. Que vous configuriez ou non un service d'authentification externe, les identifiants d'autorisation sont toujours stockés dans cette instance LDAP interne. La procédure d'ajout au serveur LDAP d'autorisation périphérique d'utilisateurs qui existent dans le système LDAP externe sont expliquées dans ce document.
Notez que l'authentification fait référence à la validation de l'identité d'un utilisateur, tandis que l'autorisation fait référence à la vérification du niveau d'autorisation accordé à un utilisateur authentifié pour utiliser Apigee Edge caractéristiques.
Ce que vous devez savoir sur l'authentification et l'autorisation Edge
Il est utile de comprendre la différence entre authentification et autorisation, et comment Apigee Edge gère ces deux activités.
À propos de authentification
Les utilisateurs qui accèdent à Apigee Edge via l'UI ou les API doivent être authentifiés. Par défaut, les identifiants utilisateur Edge pour l'authentification sont stockés dans une instance OpenLDAP interne. Généralement, les utilisateurs doivent s'inscrire ou être invités à créer un compte Apigee. À ce moment-là, ils doivent indiquer leur nom d'utilisateur, leur adresse e-mail, leurs identifiants de mot de passe et d'autres métadonnées. Ces informations sont stockées et gérées par l'authentification LDAP.
Cependant, si vous souhaitez utiliser un LDAP externe pour gérer les informations d'identification de l'utilisateur pour le compte d'Edge, vous pouvez le faire en configurant Edge pour utiliser le système LDAP externe au lieu du système interne. Lorsqu'un LDAP externe est configuré, les identifiants utilisateur sont validés par rapport à ce magasin externe, comme expliqué dans ce document.
À propos de autorisation
Les administrateurs d'organisations en périphérie peuvent accorder des autorisations spécifiques aux utilisateurs pour leur permettre d'interagir avec Les entités Apigee Edge telles que les proxys d'API, les produits, les caches, les déploiements, etc. Les autorisations sont accordé par l’attribution de rôles aux utilisateurs. Edge comprend plusieurs rôles intégrés et, si les administrateurs de l'entreprise peuvent définir des rôles personnalisés. Par exemple, un utilisateur peut être autorisé (via un rôle) à créer et à mettre à jour des proxys d'API, mais pas à les déployer dans un environnement de production.
Les identifiants de clé utilisés par le système d'autorisation Edge sont l'adresse e-mail de l'utilisateur. Cet identifiant (ainsi que d'autres métadonnées) est toujours stocké dans le l'autorisation LDAP interne. Ce LDAP est entièrement distinct du LDAP d'authentification (que ce soit internes ou externes).
Les utilisateurs authentifiés via un serveur LDAP externe doivent également être provisionnés manuellement dans au système LDAP d'autorisation. Vous trouverez plus d'informations dans ce document.
Pour en savoir plus sur l'autorisation et le contrôle des accès basé sur les rôles, consultez Gérer les utilisateurs de l'organisation et Attribuer des rôles.
Pour une vue plus approfondie, voir également Comprendre Edge les flux d'authentification et d'autorisation.
Comprendre l'authentification de liaison directe et indirecte
La fonctionnalité d'autorisation externe prend en charge l'authentification de liaison directe et indirecte via le système LDAP externe.
Résumé: L'authentification par liaison indirecte nécessite une recherche sur le serveur LDAP pour les identifiants correspondant à l'adresse e-mail, au nom d'utilisateur ou à tout autre ID fourni par l'utilisateur sur connexion. Avec l'authentification par liaison directe, aucune recherche n'est effectuée. Les identifiants sont envoyés directement au service LDAP et validés par celui-ci. L'authentification par liaison directe est considérée comme car il n'y a pas de recherche à faire.
À propos de l'authentification par liaison indirecte
Avec l'authentification par liaison indirecte, l'utilisateur saisit des identifiants, tels qu'une adresse e-mail, un nom d'utilisateur ou un autre attribut, et Edge recherche ces identifiants/valeurs dans le système d'authentification. Si le résultat de la recherche aboutit, le système extrait le nom distinctif LDAP dans les résultats de recherche et l'utilise avec un mot de passe fourni pour authentifier l'utilisateur.
Ce qu'il faut savoir, c'est que l'authentification par liaison indirecte nécessite que l'appelant (par exemple, Apigee Edge) de fournir des identifiants d'administrateur LDAP externes afin qu'Edge puisse "se connecter" au LDAP externe et effectuer la recherche. Vous devez fournir ces identifiants dans un fichier de configuration Edge, décrit plus loin dans ce document. Les étapes de chiffrement du mot de passe sont également décrites identifiant.
À propos de l'authentification par liaison directe
Avec l'authentification par liaison directe, Edge envoie les informations d'identification saisies par un utilisateur directement au d'authentification externe. Dans ce cas, aucune recherche n'est effectuée sur le système externe. Les identifiants fournis réussissent ou échouent (par exemple, si l'utilisateur n'est pas présent dans le LDAP externe ou si le mot de passe est incorrect, la connexion échouera).
L'authentification par liaison directe ne nécessite pas de configurer d'identifiants d'administrateur pour au système d'authentification externe dans Apigee Edge (comme avec l'authentification de liaison indirecte) ; Cependant, il y a une étape de configuration simple à effectuer, décrite dans la section Configuration authentification externe.
Accéder à la communauté Apigee
La communauté Apigee est une ressource gratuite grâce auquel vous pouvez contacter Apigee, ainsi que d'autres clients Apigee, pour leur poser des questions, demander des conseils et rechercher de l'aide sur d'autres problèmes. Avant de publier dans la communauté, veillez à rechercher d'abord les posts existants pour voir si une question a déjà été traitée.