Bagian ini memberikan ringkasan tentang bagaimana layanan direktori eksternal terintegrasi dengan direktori Apigee Edge untuk penginstalan Private Cloud yang sudah ada. Fitur ini dirancang untuk berfungsi dengan layanan direktori apa pun yang mendukung LDAP, seperti Active Directory, OpenLDAP, dan lainnya.
Solusi LDAP eksternal memungkinkan administrator sistem untuk mengelola kredensial pengguna dari layanan manajemen direktori terpusat, eksternal ke sistem seperti Apigee Edge yang menggunakannya. Tujuan fitur yang dijelaskan dalam dokumen ini mendukung binding langsung dan tidak langsung autentikasi.
Sebagai petunjuk terperinci tentang cara mengkonfigurasi layanan direktori eksternal, lihat Mengonfigurasi eksternal autentikasi.
Audiens
Dokumen ini mengasumsikan bahwa Anda adalah sistem global Apigee Edge untuk Private Cloud administrator dan Anda memiliki akun layanan direktori eksternal.
Ringkasan
Secara default, Apigee Edge menggunakan instance OpenLDAP internal untuk menyimpan kredensial yang digunakan untuk autentikasi pengguna. Namun, Anda dapat mengonfigurasi Edge agar menggunakan layanan LDAP autentikasi eksternal, bukan yang internal. Prosedur untuk konfigurasi eksternal ini dijelaskan dalam dokumen ini.
Edge juga menyimpan kredensial otorisasi akses berbasis peran di instance LDAP internal yang terpisah. Terlepas dari apakah Anda mengonfigurasi layanan autentikasi eksternal atau tidak, kredensial otorisasi selalu disimpan di instance LDAP internal ini. Prosedur untuk menambahkan pengguna yang ada di sistem LDAP eksternal ke LDAP otorisasi Edge dijelaskan dalam dokumen ini.
Perhatikan bahwa autentikasi mengacu pada validasi identitas pengguna, sedangkan otorisasi mengacu pada verifikasi tingkat izin yang diberikan kepada pengguna yang diautentikasi untuk menggunakan fitur Apigee Edge.
Yang perlu Anda ketahui Autentikasi dan otorisasi Edge
Hal ini berguna untuk memahami perbedaan antara otentikasi dan otorisasi serta bagaimana Apigee Edge mengelola dua aktivitas ini.
Tentang Saya autentikasi
Pengguna yang mengakses Apigee Edge melalui UI atau API harus diautentikasi. Secara {i>default<i}, Kredensial pengguna Edge untuk autentikasi disimpan dalam instance OpenLDAP internal. Biasanya, pengguna harus mendaftar atau diminta untuk mendaftar ke akun Apigee, dan pada saat itu mereka memberikan nama pengguna, alamat email, kredensial sandi, dan metadata lainnya. Informasi ini disimpan dan dikelola oleh LDAP autentikasi.
Namun, jika ingin menggunakan LDAP eksternal untuk mengelola kredensial pengguna atas nama Edge, Anda dapat melakukannya dengan mengonfigurasi Edge untuk menggunakan sistem LDAP eksternal, bukan sistem internal. Kapan LDAP eksternal dikonfigurasi, kredensial pengguna divalidasi terhadap penyimpanan eksternal itu, seperti yang dijelaskan dalam dokumen ini.
Tentang Saya otorisasi
Administrator organisasi Edge dapat memberikan izin tertentu kepada pengguna untuk berinteraksi dengan entitas Apigee Edge seperti proxy API, produk, cache, deployment, dan sebagainya. Izin diberikan melalui penetapan peran kepada pengguna. Edge menyertakan beberapa peran bawaan, dan, jika diperlukan, administrator organisasi dapat menentukan peran kustom. Misalnya, pengguna dapat diberi otorisasi (melalui peran) untuk membuat dan memperbarui proxy API, tetapi tidak untuk men-deploy-nya ke lingkungan produksi.
Kredensial kunci yang digunakan oleh sistem otorisasi Edge adalah alamat email pengguna. Kredensial ini (beserta beberapa metadata lainnya) selalu disimpan dalam LDAP otorisasi internal. LDAP ini sepenuhnya terpisah dari LDAP autentikasi (baik internal maupun eksternal).
Pengguna yang diotentikasi melalui LDAP eksternal juga harus disediakan secara manual ke sistem LDAP otorisasi. Detailnya dijelaskan dalam dokumen ini.
Untuk mengetahui latar belakang selengkapnya tentang otorisasi dan RBAC, lihat Mengelola pengguna organisasi dan Menetapkan peran.
Untuk pemahaman yang lebih mendalam, lihat juga Memahami Edge alur autentikasi dan otorisasi.
Memahami autentikasi binding langsung dan tidak langsung
Fitur otorisasi eksternal mendukung autentikasi binding langsung dan tidak langsung melalui sistem LDAP eksternal.
Ringkasan: Autentikasi binding tidak langsung memerlukan penelusuran di LDAP eksternal untuk menemukan kredensial yang cocok dengan alamat email, nama pengguna, atau ID lain yang diberikan oleh pengguna saat login. Dengan autentikasi binding langsung, tidak ada penelusuran yang dilakukan--kredensial dikirim ke dan divalidasi oleh layanan LDAP secara langsung. Otentikasi pengikatan langsung dianggap lebih efisien karena tidak diperlukan pencarian.
Tentang autentikasi binding tidak langsung
Dengan autentikasi binding tidak langsung, pengguna memasukkan kredensial, seperti alamat email, nama pengguna, atau beberapa atribut lainnya, dan Edge akan menelusuri sistem autentikasi untuk kredensial/nilai. Jika hasil penelusuran berhasil, sistem akan mengekstrak DN LDAP dari hasil pencarian dan menggunakannya dengan {i> password<i} yang diberikan untuk mengotentikasi pengguna.
Poin utama yang perlu diketahui adalah bahwa autentikasi binding tidak langsung memerlukan pemanggil (mis., Apigee Edge) untuk memberikan kredensial admin LDAP eksternal sehingga Edge dapat "login" ke LDAP eksternal dan melakukan penelusuran. Anda harus memberikan kredensial ini dalam file konfigurasi Edge, yang akan dijelaskan nanti dalam dokumen ini. Langkah-langkah juga dijelaskan untuk mengenkripsi kredensial sandi.
Tentang autentikasi binding langsung
Dengan autentikasi pengikatan langsung, Edge mengirimkan kredensial yang dimasukkan oleh pengguna langsung ke sistem otentikasi eksternal. Dalam hal ini, tidak ada penelusuran yang dilakukan di sistem eksternal. Kredensial yang diberikan berhasil atau gagal (misalnya, jika pengguna tidak ada di LDAP eksternal atau jika sandi salah, login akan gagal).
Otentikasi pengikatan langsung tidak mengharuskan Anda mengonfigurasi kredensial admin untuk sistem autentikasi eksternal di Apigee Edge (seperti autentikasi binding tidak langsung); Namun, ada langkah konfigurasi sederhana yang harus Anda lakukan, yang dijelaskan dalam Mengonfigurasi autentikasi eksternal.
Mengakses komunitas Apigee
Komunitas Apigee adalah referensi gratis tempat Anda dapat menghubungi Apigee sebagai serta pelanggan Apigee lainnya yang memiliki pertanyaan, tips, dan masalah lainnya. Sebelum memposting ke di komunitas, pastikan untuk menelusuri postingan yang ada terlebih dahulu untuk melihat apakah pertanyaan Anda dijawab.