En esta sección, se proporciona una descripción general de cómo se integran los servicios de directorio externo con un la instalación existente de Apigee Edge para la nube privada. Esta función está diseñada para funcionar con cualquier servicio de directorio que admita LDAP, como Active Directory, OpenLDAP y otros.
Una solución LDAP externa permite a los administradores de sistemas gestionar las credenciales de usuario desde un Es un servicio de administración de directorios centralizado, externo a sistemas como Apigee Edge que los usan. La función que se describe en este documento admite la autenticación de vinculación directa e indirecta.
Para instrucciones detalladas sobre la configuración de un servicio de directorio externo, consulta Configura las redes autenticación.
Público
En este documento, se supone que eres un administrador del sistema global de Apigee Edge para Private Cloud y que tienes una cuenta en el servicio de directorio externo.
Descripción general
De forma predeterminada, Apigee Edge usa una instancia interna de OpenLDAP para almacenar las credenciales que se usan para la autenticación de los usuarios. Sin embargo, puedes configurar Edge para que use un servicio de LDAP de autenticación externo en lugar del interno. En este documento, se explica el procedimiento para esta configuración externa.
Edge también almacena las credenciales de autorización de acceso basado en roles en una instancia interna de LDAP independiente. Independientemente de si configuras o no un servicio de autenticación externo, las credenciales de autorización siempre se almacenan en esta instancia interna de LDAP. En este documento, se explica el procedimiento para agregar usuarios que existen en el sistema LDAP externo al LDAP de autorización de Edge.
Ten en cuenta que la autenticación hace referencia a la validación de la identidad de un usuario, mientras que la autorización se refiere a la verificación del nivel de permiso que se otorga a un usuario autenticado para usar Apigee Edge atributos.
Qué necesitas saber sobre la autenticación y la autorización de Edge
Es útil comprender la diferencia entre autenticación y autorización, y cómo Apigee Edge administra estas dos actividades.
Información acerca de la autenticación
Se deben autenticar los usuarios que acceden a Apigee Edge mediante la IU o las APIs. De forma predeterminada, las credenciales de usuario de Edge para la autenticación se almacenan en una instancia interna de OpenLDAP. Por lo general, los usuarios deben registrarse o se les solicita que se registren para obtener una cuenta de Apigee. En ese momento, proporcionan su nombre de usuario, dirección de correo electrónico, credenciales de contraseña y otros metadatos. Esta información se se almacenan y administran mediante el LDAP de autenticación.
Sin embargo, si deseas usar un LDAP externo para administrar las credenciales de los usuarios en nombre de Edge, puedes configurar Edge para que use el sistema LDAP externo en lugar del interno. Cuándo se configura un LDAP externo, las credenciales de usuario se validan con ese almacén externo, que se explica en este documento.
Acerca de autorización
Los administradores de la organización de Edge pueden otorgar permisos específicos a los usuarios para que interactúen con las entidades de Apigee Edge, como proxies de API, productos, cachés, implementaciones, etcétera. Los permisos se otorgan a través de la asignación de roles a los usuarios. Edge incluye varios roles integrados y, si necesario, los administradores de la organización pueden definir roles personalizados. Por ejemplo, se puede otorgar a un usuario autorización (a través de un rol) para crear y actualizar proxies de API, pero no para implementarlos en un entorno de producción.
La credencial de clave que usa el sistema de autorización de Edge es la dirección de correo electrónico del usuario. Esta credencial (junto con algunos otros metadatos) siempre se almacena en el LDAP de autorización interno de Edge. Este LDAP es completamente independiente del LDAP de autenticación (ya sea interna o externa).
Los usuarios que se autentican a través de un LDAP externo también deben aprovisionarse manualmente en el sistema LDAP de autorización. Los detalles se explican en este documento.
Para obtener más información sobre la autorización y el RBAC, consulta Administra la organización usuarios y la asignación roles.
Para obtener una vista más detallada, consulta también Información sobre los flujos de autenticación y autorización de Edge.
Información sobre la autenticación de vinculación directa e indirecta
La función de autorización externa es compatible con las operaciones directas y indirecta a través del sistema LDAP externo.
Resumen: La autenticación de vinculación indirecta requiere una búsqueda en el LDAP externo para encontrar credenciales que coincidan con la dirección de correo electrónico, el nombre de usuario o cualquier otro ID que proporcione el usuario en el acceso. Con la autenticación de vinculación directa, no se realiza ninguna búsqueda, ya que el servicio de LDAP envía las credenciales directamente y las valida. La autenticación de vinculación directa se considera más eficiente porque no requiere búsquedas.
Información acerca de la autenticación de vinculación indirecta
Con la autenticación de vinculación indirecta, el usuario ingresa una credencial, como una dirección de correo electrónico, un nombre de usuario o algún otro atributo, y Edge busca esta credencial o valor en el sistema de autenticación. Si el resultado de la búsqueda es correcto, el sistema extrae el DN de LDAP de los resultados de la búsqueda y lo usa con una contraseña proporcionada para autenticar al usuario.
El punto clave que debes saber es que la autenticación de vinculación indirecta requiere que el llamador (p. ej., Apigee Edge) a fin de proporcionar credenciales de administrador de LDAP externo para que Edge pueda "acceder" para el público LDAP y realiza la búsqueda. Debes proporcionar estas credenciales en un archivo de configuración de Edge, que se describe más adelante en este documento. También se describen los pasos para encriptar la contraseña de Google Cloud.
Información acerca de la autenticación de vinculación directa
Con la autenticación de vinculación directa, Edge envía las credenciales que ingresa un usuario directamente al sistema de autenticación externo. En este caso, no se realiza ninguna búsqueda en el sistema externo. Las credenciales proporcionadas se realizan correctamente o fallan (p. ej., si el usuario no está presente en el LDAP externo o si la contraseña es incorrecta, el acceso fallará).
La autenticación de vinculación directa no requiere que configures credenciales de administrador para el sistema de autenticación externo en Apigee Edge (como con la autenticación de vinculación indirecta). Sin embargo, hay un paso de configuración simple que debes realizar, que se describe en Cómo configurar la autenticación externa.
Accede a la comunidad de Apigee
La comunidad de Apigee es un recurso gratuito en el que puedes comunicarte con Apigee y otros clientes de Apigee con preguntas, sugerencias y otros problemas. Antes de publicar contenido en la comunidad, asegúrate de buscar primero las publicaciones existentes para ver si ya se respondió tu pregunta.