ส่วนนี้จะแสดงภาพรวมของวิธีที่บริการไดเรกทอรีภายนอกผสานรวมกับการติดตั้ง Apigee Edge สำหรับ Private Cloud ที่มีอยู่ ฟีเจอร์นี้ออกแบบมาให้ใช้งานได้กับ บริการไดเรกทอรีที่รองรับ LDAP เช่น Active Directory, OpenLDAP และอื่นๆ
โซลูชัน LDAP ภายนอกช่วยให้ผู้ดูแลระบบสามารถจัดการข้อมูลประจำตัวของผู้ใช้จาก บริการจัดการไดเรกทอรีแบบรวมศูนย์ สำหรับภายนอกระบบอย่าง Apigee Edge ที่ใช้บริการเหล่านั้นอยู่ ฟีเจอร์ที่อธิบายในเอกสารนี้รองรับทั้งการตรวจสอบสิทธิ์การเชื่อมโยงโดยตรงและโดยอ้อม
ดูวิธีการโดยละเอียดในการกำหนดค่าบริการไดเรกทอรีภายนอกได้ที่การกำหนดค่าการตรวจสอบสิทธิ์ภายนอก
ผู้ชม
เอกสารนี้จะถือว่าคุณเป็น Apigee Edge สำหรับระบบส่วนกลางของ Private Cloud และคุณมีบัญชี บริการไดเรกทอรีภายนอก
ภาพรวม
โดยค่าเริ่มต้น Apigee Edge จะใช้อินสแตนซ์ OpenLDAP ภายในเพื่อจัดเก็บข้อมูลเข้าสู่ระบบที่ใช้ สำหรับการตรวจสอบสิทธิ์ของผู้ใช้ อย่างไรก็ตาม คุณสามารถกำหนดค่า Edge ให้ใช้บริการ LDAP การตรวจสอบสิทธิ์ภายนอกแทนบริการภายในได้ กระบวนการ สำหรับการกำหนดค่าภายนอกนี้ได้อธิบายไว้ในเอกสารนี้
นอกจากนี้ Edge ยังจัดเก็บข้อมูลเข้าสู่ระบบการให้สิทธิ์การเข้าถึงตามบทบาทไว้ในอินสแตนซ์ LDAP ภายในแยกต่างหาก ไม่ว่าคุณจะกำหนดค่าบริการตรวจสอบสิทธิ์ภายนอกหรือไม่ ระบบจะจัดเก็บข้อมูลเข้าสู่ระบบการให้สิทธิ์ในอินสแตนซ์ LDAP ภายในนี้เสมอ กระบวนการเพิ่มผู้ใช้ที่อยู่ในระบบ LDAP ภายนอกไปยัง LDAP ของการให้สิทธิ์ Edge ตามที่อธิบายไว้ในเอกสารนี้
โปรดทราบว่าการตรวจสอบสิทธิ์หมายถึงการตรวจสอบความถูกต้องของข้อมูลประจำตัวของผู้ใช้ ส่วนการให้สิทธิ์หมายถึงการยืนยันระดับสิทธิ์ที่ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ได้รับอนุญาตให้ใช้ฟีเจอร์ของ Apigee Edge
สิ่งที่จำเป็นต้องทราบ การตรวจสอบสิทธิ์และการให้สิทธิ์ Edge
คุณควรทำความเข้าใจความแตกต่างระหว่างการตรวจสอบสิทธิ์และการให้สิทธิ์ รวมถึงวิธีที่ Apigee Edge จัดการกิจกรรมทั้ง 2 อย่างนี้
เกี่ยวกับ การตรวจสอบสิทธิ์
ผู้ใช้ที่เข้าถึง Apigee Edge ผ่าน UI หรือ API จะต้องผ่านการตรวจสอบสิทธิ์ โดยค่าเริ่มต้น ระบบจะจัดเก็บข้อมูลเข้าสู่ระบบของผู้ใช้ Edge สำหรับการตรวจสอบสิทธิ์ไว้ในอินสแตนซ์ OpenLDAP ภายใน โดยทั่วไปแล้ว ผู้ใช้จะต้องลงทะเบียนหรือระบบจะขอให้ลงทะเบียนบัญชี Apigee และผู้ใช้จะต้องระบุชื่อผู้ใช้ อีเมล ข้อมูลเข้าสู่ระบบของรหัสผ่าน และข้อมูลเมตาอื่นๆ ในเวลานั้น ข้อมูลนี้จะจัดเก็บและจัดการโดย LDAP การตรวจสอบสิทธิ์
อย่างไรก็ตาม หากต้องการใช้ LDAP ภายนอกเพื่อจัดการข้อมูลเข้าสู่ระบบของผู้ใช้ในนามของ Edge คุณก็ทำได้โดยกำหนดค่า Edge ให้ใช้ระบบ LDAP ภายนอกแทนระบบภายใน วันและเวลา มีการกำหนดค่า LDAP ภายนอกแล้ว ข้อมูลเข้าสู่ระบบของผู้ใช้จะได้รับการตรวจสอบกับ Store ภายนอกนั้น เช่น อธิบายไว้ในเอกสารนี้
เกี่ยวกับการให้สิทธิ์
ผู้ดูแลระบบองค์กร Edge สามารถให้สิทธิ์เฉพาะแก่ผู้ใช้เพื่อโต้ตอบกับเอนทิตี Apigee Edge เช่น พร็อกซี API, ผลิตภัณฑ์, แคช, การติดตั้งใช้งาน และอื่นๆ สิทธิ์จะได้รับการมอบหมายผ่านการกำหนดบทบาทให้กับผู้ใช้ Edge มีบทบาทในตัวหลายบทบาท และหาก ผู้ดูแลระบบขององค์กรสามารถกำหนดบทบาทที่กำหนดเองได้ เช่น ให้สิทธิ์ผู้ใช้ การให้สิทธิ์ (ผ่านบทบาท) ในการสร้างและอัปเดตพร็อกซี API แต่ไม่ใช่เพื่อทำให้ใช้งานได้กับ สภาพแวดล้อมการใช้งานจริง
ข้อมูลเข้าสู่ระบบคีย์ที่ใช้โดยระบบการให้สิทธิ์ Edge คืออีเมลของผู้ใช้ ที่อยู่ ระบบจะจัดเก็บข้อมูลเข้าสู่ระบบนี้ (พร้อมด้วยข้อมูลเมตาอื่นๆ) ใน Edge เสมอ LDAP การให้สิทธิ์ภายใน LDAP นี้จะแยกจาก LDAP การตรวจสอบสิทธิ์ทั้งหมด (ไม่ว่าจะ ภายในหรือภายนอก)
ผู้ใช้ที่ตรวจสอบสิทธิ์ผ่าน LDAP ภายนอกจะต้องได้รับการจัดสรรด้วยตนเองในระบบ LDAP การให้สิทธิ์ด้วย โปรดดูรายละเอียดในเอกสารนี้
หากต้องการทราบข้อมูลพื้นฐานเพิ่มเติมเกี่ยวกับการให้สิทธิ์และ RBAC โปรดดูการจัดการองค์กร ผู้ใช้และการมอบหมาย บทบาท
ดูภาพรวมโดยละเอียดได้ที่การทำความเข้าใจขั้นตอนการให้สิทธิ์และการตรวจสอบสิทธิ์ของ Edge
ทำความเข้าใจทั้งทางตรงและทางอ้อม การตรวจสอบสิทธิ์การเชื่อมโยง
ฟีเจอร์การให้สิทธิ์ภายนอกรองรับทั้งโดยตรงและ การตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อมผ่านระบบ LDAP ภายนอก
สรุป: การตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อมกำหนดให้ต้องค้นหาข้อมูลเข้าสู่ระบบที่ตรงกับอีเมล ชื่อผู้ใช้ หรือรหัสอื่นๆ ที่ผู้ใช้ระบุไว้เมื่อเข้าสู่ระบบใน LDAP ภายนอก เมื่อใช้การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรง จะไม่มีการค้นหา ระบบจะส่งข้อมูลเข้าสู่ระบบไปยัง และ ตรวจสอบโดยบริการ LDAP โดยตรง การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรงมีน้อยกว่า ที่มีประสิทธิภาพเพราะไม่ต้องมีการค้นหาเข้ามาเกี่ยวข้อง
เกี่ยวกับการรับรองการเชื่อมโยงโดยอ้อม
เมื่อใช้การตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อม ผู้ใช้จะป้อนข้อมูลเข้าสู่ระบบ เช่น อีเมล ชื่อผู้ใช้ หรือแอตทริบิวต์อื่นๆ และ Edge จะค้นหาข้อมูลเข้าสู่ระบบ/ค่านี้ในระบบการตรวจสอบสิทธิ์ หากผลการค้นหาสำเร็จ ระบบจะดึงข้อมูล DN ของ LDAP จากผลการค้นหาและใช้กับรหัสผ่านที่ระบุเพื่อตรวจสอบสิทธิ์ผู้ใช้
สิ่งสำคัญที่ควรทราบคือการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อมกำหนดให้ผู้เรียก (เช่น Apigee Edge) เพื่อระบุข้อมูลเข้าสู่ระบบของผู้ดูแลระบบ LDAP ภายนอกเพื่อให้ Edge "เข้าสู่ระบบ" ได้ ไปยังภายนอก LDAP และดำเนินการค้นหา คุณต้องระบุข้อมูลเข้าสู่ระบบเหล่านี้ในไฟล์การกําหนดค่า Edge ซึ่งจะอธิบายไว้ในส่วนถัดไปของเอกสารนี้ และอธิบายขั้นตอนสำหรับการเข้ารหัสให้กับรหัสผ่านด้วย ข้อมูลเข้าสู่ระบบ
เกี่ยวกับการรับรองการเชื่อมโยงโดยตรง
เมื่อใช้การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรง Edge จะส่งข้อมูลเข้าสู่ระบบที่ผู้ใช้ป้อนไปยังระบบการตรวจสอบสิทธิ์ภายนอกโดยตรง ในกรณีนี้ จะไม่มีการทำการค้นหาในระบบภายนอก ข้อมูลเข้าสู่ระบบที่ระบุจะสำเร็จหรือไม่สำเร็จ (เช่น การเข้าสู่ระบบจะดำเนินการไม่สำเร็จหากผู้ใช้ไม่ได้อยู่ใน LDAP ภายนอกหรือรหัสผ่านไม่ถูกต้อง)
การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรงไม่ได้กำหนดให้คุณต้องกำหนดค่าข้อมูลเข้าสู่ระบบของผู้ดูแลระบบสำหรับ ระบบการตรวจสอบสิทธิ์ภายนอกใน Apigee Edge (เช่นเดียวกับการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อม) แต่ก็จะมี ขั้นตอนการกำหนดค่าง่ายๆ ที่คุณต้องทำ ซึ่งอธิบายไว้ใน การกำหนดค่า การตรวจสอบสิทธิ์ภายนอก
เข้าถึงชุมชน Apigee
ชุมชน Apigee เป็นแหล่งข้อมูลแบบไม่มีค่าใช้จ่ายที่คุณสามารถติดต่อ Apigee รวมถึงลูกค้า Apigee รายอื่นๆ เพื่อสอบถามคําถาม ขอเคล็ดลับ และแจ้งปัญหาอื่นๆ ก่อนโพสต์ไปที่ ของชุมชน อย่าลืมค้นหาบทความที่มีอยู่แล้ว เพื่อดูว่าคำถามของคุณมี ตอบ