本節將概略說明外部目錄服務如何與現有的 Apigee Edge for Private Cloud 安裝作業整合。這項功能適用於所有 支援 LDAP 的目錄服務,例如 Active Directory 和 OpenLDAP 等等
透過外部 LDAP 解決方案,系統管理員能夠 集中式目錄管理服務,但不包括 Apigee Edge 等使用這些服務的系統。 本文件所述的功能,可同時支援直接和間接繫結 驗證。
適用對象 如需設定外部目錄服務的詳細操作說明,請參閱 設定外部 驗證。
目標對象
本文件假設您是 Apigee Edge for Private Cloud 全球系統系統管理員,且擁有外部目錄服務的帳戶。
總覽
根據預設,Apigee Edge 會使用內部 OpenLDAP 執行個體來儲存使用的憑證 供使用者驗證使用不過,您可以將 Edge 設定為 「外部驗證 LDAP 服務」,而非內部驗證服務。本文件會說明這項外部設定的程序。
Edge 也會將角色型存取授權憑證儲存在獨立位置, 內部 LDAP 執行個體您是否設定了外部驗證服務 授權憑證「一律」儲存在這個內部 LDAP 執行個體中。本文件說明將外部 LDAP 系統中的使用者新增至 Edge 授權 LDAP 的程序。
請注意,「驗證」是指在授權時驗證使用者身分 用來驗證已驗證使用者授予使用 Apigee Edge 的權限層級 接著介紹網際網路通訊層 包括兩項主要的安全防護功能
注意事項 邊緣驗證和授權
建議您瞭解驗證和授權的差異,以及 Apigee Edge 如何管理這兩項活動。
關於驗證
透過 UI 或 API 存取 Apigee Edge 的使用者,都必須通過驗證。根據預設,Edge 用於驗證的使用者憑證會儲存在內部 OpenLDAP 例項中。一般而言, 使用者必須註冊或要求註冊 Apigee 帳戶, 使用者名稱、電子郵件地址、密碼憑證和其他中繼資料這是 由驗證 LDAP 儲存及管理
不過,如果您想使用外部 LDAP 代表 Edge 管理使用者憑證,可以將 Edge 設定為使用外部 LDAP 系統,而非內部系統。設定外部 LDAP 時,系統會根據該外部儲存空間驗證使用者憑證,如本文件所述。
關於授權
Edge 機構組織管理員可以授予使用者特定權限,讓他們與 Apigee Edge 實體互動,例如 API 代理程式、產品、快取、部署等。權限為 授予使用者角色。Edge 包括多種內建角色,如果 機構管理員可以定義自訂角色例如,您可以將使用者 授權 (透過角色) 建立及更新 API Proxy,但無法將 Proxy 部署至 正式環境
Edge 授權系統使用的金鑰憑證是使用者的電子郵件地址。這項憑證 (以及其他一些中繼資料) 一律會儲存在 Edge 的內部授權 LDAP 中。這個 LDAP 與驗證 LDAP 完全無關 ( 內部或外部)。
透過外部 LDAP 驗證的使用者也必須手動佈建至授權 LDAP 系統。詳情請參閱本文件。
如需更多授權和 RBAC 的背景資訊,請參閱管理機構 使用者和指派對象 角色。
如需深入瞭解,另請參閱瞭解邊緣 驗證和授權流程
瞭解直接和間接繫結驗證
外部授權功能支援透過外部 LDAP 系統進行直接和間接繫結驗證。
摘要:間接繫結驗證需要搜尋外部 憑證的 LDAP 應與使用者提供的電子郵件地址、使用者名稱或其他 ID 相符 登入。使用直接繫結驗證時,系統不會執行搜尋作業,而是直接將憑證傳送至 LDAP 服務,由該服務驗證。直接繫結驗證不需搜尋,因此效率較高。
關於間接繫結驗證
透過間接繫結驗證功能,使用者必須輸入憑證,例如電子郵件地址 使用者名稱或其他屬性,而 Edge 會為此搜尋驗證系統 憑證/值。如果搜尋結果成功,系統會從 並使用該密碼與所提供的密碼來驗證使用者。
您必須瞭解的重點是,間接繫結驗證需要呼叫端 (例如Apigee Edge) 提供外部 LDAP 管理員憑證,讓 Edge 可以「登入」對外公開 並執行搜尋。您必須在 Edge 設定檔中提供這些憑證,這會在本文後續章節中說明。並說明如何加密密碼憑證。
關於直接繫結驗證
透過直接繫結驗證,Edge 會將使用者輸入的憑證直接傳送至 外部驗證系統在此情況下,系統不會對外部系統執行搜尋。 提供的憑證會成功或失敗 (例如,如果使用者不在外部 LDAP 中,或密碼不正確,登入作業就會失敗)。
直接繫結驗證不需要您在 Apigee Edge 中為外部驗證系統設定管理員憑證 (與間接繫結驗證相同);不過,您必須執行簡單的設定步驟,詳情請參閱「設定外部驗證」。
存取 Apigee 社群
Apigee 社群是免費資源,您可以透過這項資源與 Apigee 和其他 Apigee 客戶聯絡,提出問題、取得提示或討論其他問題。發布至 社群,請務必先搜尋現有的訊息,看看您的問題是否已經存在 。