本部分简要介绍了外部目录服务如何与现有的 Apigee Edge for Private Cloud 安装集成。此功能旨在与 支持 LDAP 的目录服务,例如 Active Directory、OpenLDAP 等。
借助外部 LDAP 解决方案,系统管理员可以通过 集中式目录管理服务,位于使用它们的系统(如 Apigee Edge)外部。通过 功能支持直接和间接绑定 身份验证。
对于 有关配置外部目录服务的详细说明,请参阅 配置外部 身份验证。
受众群体
本文档假定您是适用于私有云全球系统的 Apigee Edge 而且您拥有使用外部目录服务的账号。
概览
默认情况下,Apigee Edge 使用内部 OpenLDAP 实例存储用于用户身份验证的凭据。不过,您可以将 Edge 配置为使用 外部身份验证 LDAP 服务(而不是内部身份验证)。流程 具体配置请参见本文档。
Edge 还会在单独的内部 LDAP 实例中存储基于角色的访问授权凭据。无论您是否配置了外部身份验证服务,授权凭据都始终存储在此内部 LDAP 实例中。本文档介绍了将外部 LDAP 系统中存在的用户添加到 Edge 授权 LDAP 的步骤。
请注意,身份验证是指验证用户的身份,而授权是指验证已通过身份验证的用户获享使用 Apigee Edge 功能的权限级别。
不可不知的事项 边缘身份验证和授权
了解身份验证与授权的区别以及 Apigee Edge 管理这两个 activity。
身份验证简介
通过界面或 API 访问 Apigee Edge 的用户必须经过身份验证。默认情况下,用于身份验证的 Edge 用户凭据存储在内部 OpenLDAP 实例中。通常,用户必须注册 Apigee 账号,或者系统会要求他们注册账号,届时他们需要提供用户名、电子邮件地址、密码凭据和其他元数据。这些信息 存储在身份验证 LDAP 中并由其管理。
不过,如果您希望使用外部 LDAP 代表 Edge 管理用户凭据,可以将 Edge 配置为使用外部 LDAP 系统(而非内部 LDAP 系统)。配置外部 LDAP 后,系统会针对该外部存储区验证用户凭据,如本文档中所述。
简介 授权
Edge 组织管理员可以向用户授予特定权限以进行互动 Apigee Edge 实体,例如 API 代理、产品、缓存、部署等。您可以通过向用户分配角色来授予权限。Edge 包含多个内置角色,组织管理员可以根据需要定义自定义角色。例如,您可以向用户授予创建和更新 API 代理的授权(通过角色),但不允许将其部署到生产环境。
Edge 授权系统使用的密钥凭据是用户的电子邮件地址 地址。此凭据(以及一些其他元数据)始终存储在 Edge 的 内部授权 LDAP。此 LDAP 与身份验证 LDAP(无论是内部还是外部)完全分开。
通过外部 LDAP 进行身份验证的用户还必须手动配置到 授权 LDAP 系统。本文档中介绍了详细信息。
如需详细了解授权和 RBAC,请参阅管理组织用户和分配角色。
如需深入了解,另请参阅了解 Edge 身份验证和授权流程。
了解直接绑定和间接绑定身份验证
外部授权功能支持通过外部 LDAP 系统进行直接和间接绑定身份验证。
摘要:间接绑定身份验证需要在外部 LDAP 中搜索与用户在登录时提供的电子邮件地址、用户名或其他 ID 匹配的凭据。使用直接绑定身份验证时,不会执行任何搜索,凭据会发送到 由 LDAP 服务直接验证。直接绑定身份验证被认为 因为不参与搜索。
间接绑定身份验证简介
使用间接绑定身份验证时,用户可以输入凭据,例如电子邮件地址, 用户名或某种其他属性,Edge 会在身份验证系统中搜索 凭据/值。如果搜索结果成功,系统会从搜索结果中提取 LDAP DN,并将其与提供的密码一起使用来对用户进行身份验证。
需要了解的关键一点是,间接绑定身份验证需要调用方(例如, Apigee Edge)提供外部 LDAP 管理员凭据,以便 Edge 可以“登录”外部 LDAP 并执行搜索。您必须在 Edge 配置文件中提供这些凭据, 相关内容将在本文档后面部分进行介绍。还介绍了加密密码的步骤 凭据。
直接绑定身份验证简介
使用直接绑定身份验证时,Edge 会将用户输入的凭据直接发送到 外部身份验证系统在这种情况下,不在外部系统上执行任何搜索。 提供的凭据要么成功,要么失败(例如,如果用户不在 或如果密码不正确,则登录将失败)。
直接绑定身份验证不要求您为 Apigee Edge 中的外部身份验证系统(与间接绑定身份验证一样);不过 必须执行的简单配置步骤,具体说明请参阅 配置 外部身份验证。
访问 Apigee 社区
Apigee 社区是一个免费资源,您可以在这里与 Apigee 以及其他 Apigee 客户联系,以提出问题、获取提示以及讨论其他问题。将帖子发到该社区之前,请务必先搜索现有帖子,看看您的问题是否已有答案。