In diesem Abschnitt erhalten Sie einen Überblick über die Integration externer Verzeichnisdienste oder eine vorhandene Apigee Edge for Private Cloud-Installation. Diese Funktion funktioniert mit jedem Verzeichnisdienst, der LDAP unterstützt, z. B. Active Directory und OpenLDAP.
Mit einer externen LDAP-Lösung können Systemadministratoren die Anmeldedaten von Nutzern über eine einem zentralen Verzeichnisverwaltungsdienst außerhalb von Systemen wie Apigee Edge. Die Die in diesem Dokument beschriebene Funktion unterstützt sowohl direkte als auch indirekte Bindungen. Authentifizierung.
Für Eine ausführliche Anleitung zum Konfigurieren eines externen Verzeichnisdienstes finden Sie unter Extern konfigurieren Authentifizierung.
Zielgruppe
In diesem Dokument wird davon ausgegangen, dass Sie ein globaler Systemadministrator von Apigee Edge for Private Cloud sind und ein Konto für den externen Verzeichnisdienst haben.
Übersicht
Standardmäßig verwendet Apigee Edge eine interne OpenLDAP-Instanz zum Speichern von Anmeldedaten, die für die Nutzerauthentifizierung verwendet werden. Sie können Edge jedoch für die Verwendung eines externen LDAP-Dienst für die Authentifizierung anstelle des internen. Das Verfahren für diese externe Konfiguration wird in diesem Dokument erläutert.
Edge speichert auch Autorisierungsanmeldedaten für den rollenbasierten Zugriff in einer separaten internen LDAP-Instanz. Unabhängig davon, ob Sie einen externen Authentifizierungsdienst konfigurieren, werden Autorisierungs-Anmeldedaten immer in dieser internen LDAP-Instanz gespeichert. In diesem Dokument wird beschrieben, wie Nutzer, die im externen LDAP-System vorhanden sind, dem Edge-Autorisierungs-LDAP hinzugefügt werden.
Die Authentifizierung bezieht sich auf die Validierung der Identität eines Nutzers, während die Autorisierung die Überprüfung der Berechtigungsstufe eines authentifizierten Nutzers zur Nutzung der Apigee Edge-Funktionen bezeichnet.
Was Sie über Edge-Authentifizierung und -Autorisierung
Es ist hilfreich, den Unterschied zwischen Authentifizierung und Autorisierung zu kennen und Apigee Edge verwaltet diese beiden Aktivitäten.
Authentifizierung
Nutzer, die über die Benutzeroberfläche oder APIs auf Apigee Edge zugreifen, müssen authentifiziert werden. Standardmäßig werden die Anmeldedaten von Edge-Nutzern für die Authentifizierung in einer internen OpenLDAP-Instanz gespeichert. Normalerweise müssen sich Nutzer für ein Apigee-Konto registrieren oder werden dazu aufgefordert. Dabei geben sie ihren Nutzernamen, ihre E-Mail-Adresse, ihre Anmeldedaten und andere Metadaten an. Diese Informationen werden im LDAP-Authentifizierungsverzeichnis gespeichert und verwaltet.
Wenn Sie jedoch ein externes LDAP verwenden möchten, um Nutzeranmeldedaten im Namen von Edge zu verwalten, kann Edge so konfigurieren, dass das externe LDAP-System anstelle des internen verwendet wird. Wann? ein externes LDAP konfiguriert ist, werden die Nutzeranmeldedaten mit diesem externen Speicher validiert. die in diesem Dokument erläutert werden.
Info Autorisierung
Edge-Organisationsadministratoren können Benutzern bestimmte Berechtigungen zum Interagieren mit Apigee Edge-Entitäten wie API-Proxys, Produkte, Caches, Bereitstellungen usw. Berechtigungen werden durch die Zuweisung von Rollen an Nutzer gewährt. Edge umfasst mehrere integrierte Rollen und, wenn können Admins der Organisation benutzerdefinierte Rollen definieren. So kann einem Nutzer beispielsweise die Berechtigung (über eine Rolle) zum Erstellen und Aktualisieren von API-Proxys, aber nicht zum Bereitstellen in einer Produktionsumgebung gewährt werden.
Die Schlüsselanmeldedaten, die vom Edge-Autorisierungssystem verwendet werden, sind die E-Mail-Adresse des Benutzers Adresse. Diese Anmeldedaten werden zusammen mit einigen anderen Metadaten immer im internen Autorisierungs-LDAP von Edge gespeichert. Dieses LDAP ist völlig unabhängig vom LDAP-Authentifizierungs-LDAP (ob (intern oder extern).
Nutzer, die über ein externes LDAP authentifiziert werden, müssen auch manuell im LDAP-Autorisierungssystem bereitgestellt werden. Ausführliche Informationen finden Sie in diesem Dokument.
Weitere Informationen zu Autorisierung und RBAC finden Sie unter Organisation verwalten Nutzer und Zuweisen Rollen
Weitere Informationen finden Sie unter Authentifizierungs- und Autorisierungsabläufe in Edge.
Die direkte und indirekte Bedeutung Bindungsauthentifizierung
Die Funktion „Externe Autorisierung“ unterstützt sowohl die direkte als auch die indirekte Bindungsauthentifizierung über das externe LDAP-System.
Zusammenfassung: Für die indirekte Bindungsauthentifizierung ist eine Suche im externen LDAP nach Anmeldedaten erforderlich, die mit der E-Mail-Adresse, dem Nutzernamen oder einer anderen ID übereinstimmen, die der Nutzer bei der Anmeldung angegeben hat. Bei der direkten Bindungsauthentifizierung wird keine Suche durchgeführt. Die Anmeldedaten werden direkt an den LDAP-Dienst gesendet und dort validiert. Die Direct Binding-Authentifizierung gilt als weil keine Suche erforderlich ist.
Informationen zur Authentifizierung für indirekte Bindungen
Bei der indirekten Bindungsauthentifizierung gibt der Nutzer Anmeldedaten ein, z. B. eine E-Mail-Adresse, oder ein anderes Attribut und Edge sucht im Authentifizierungssystem nach diesem Anmeldedaten/Wert. Wenn das Suchergebnis erfolgreich ist, extrahiert das System den LDAP-DN aus den Suchergebnissen und verwendet ihn zusammen mit einem angegebenen Passwort, um den Nutzer zu authentifizieren.
Wichtig ist, dass für die indirekte Bindungsauthentifizierung der Aufrufer (z. B. Apigee Edge) externe LDAP-Administratoranmeldedaten angeben, damit sich Edge beim externen LDAP anmelden und die Suche ausführen kann. Sie müssen diese Anmeldedaten in einer Edge-Konfigurationsdatei angeben, die weiter unten in diesem Dokument beschrieben wird. Außerdem werden Schritte zum Verschlüsseln der Anmeldedaten beschrieben.
Direkte Bindungsauthentifizierung
Bei der direkten Bindungsauthentifizierung sendet Edge die von einem Nutzer eingegebenen Anmeldedaten direkt an das externe Authentifizierungssystem. In diesem Fall wird keine Suche auf dem externen System durchgeführt. Die angegebenen Anmeldedaten sind entweder erfolgreich oder schlagen fehl (z.B. wenn der Nutzer nicht in der externes LDAP oder wenn das Passwort falsch ist, schlägt die Anmeldung fehl).
Bei der direkten Bindungsauthentifizierung müssen Sie keine Administratoranmeldedaten für das externe Authentifizierungssystem in Apigee Edge konfigurieren (wie bei der indirekten Bindungsauthentifizierung). Es ist jedoch ein einfacher Konfigurationsschritt erforderlich, der unter Externe Authentifizierung konfigurieren beschrieben wird.
Apigee-Community aufrufen
Die Apigee-Community ist eine kostenlose Ressource, über die Sie Apigee sowie andere Apigee-Kunden mit Fragen, Tipps und anderen Problemen kontaktieren können. Bevor Sie eine Frage in der Community posten, sollten Sie zuerst nach vorhandenen Beiträgen suchen, um zu sehen, ob Ihre Frage bereits beantwortet wurde.