Esta seção fornece uma visão geral de como os serviços de diretório externo são integrados a uma instalação do Apigee Edge para nuvem privada. Esse recurso foi criado para funcionar serviço de diretório compatível com LDAP, como Active Directory, OpenLDAP, entre outros.
Uma solução LDAP externa permite que os administradores do sistema gerenciem as credenciais dos usuários a partir de um serviço centralizado de gerenciamento de diretórios, externo a sistemas como o Apigee Edge, que os utilizam. O descrito neste documento suporta vinculação direta e indireta autenticação.
Para instruções detalhadas sobre como configurar um serviço de diretório externo, consulte Configuração externa autenticação.
Público-alvo
Neste documento, presumimos que você seja um administrador do sistema global do Apigee Edge para Private Cloud e que tenha uma conta no serviço de diretório externo.
Visão geral
Por padrão, o Apigee Edge usa uma instância interna do OpenLDAP para armazenar as credenciais usadas para autenticação do usuário. No entanto, é possível configurar o Edge para usar serviço LDAP de autenticação externo em vez do interno. O procedimento para essa configuração externa é explicado neste documento.
O Edge também armazena credenciais de autorização de acesso com base em papéis instância LDAP interna. Independentemente de ter configurado ou não um serviço de autenticação externo, as credenciais de autorização são sempre armazenadas nessa instância LDAP interna. O procedimento para adicionar usuários que existem no sistema LDAP externo ao LDAP de autorização do Edge é explicado neste documento.
A autenticação se refere à validação da identidade de um usuário, enquanto a autorização se refere à verificação do nível de permissão concedido a um usuário autenticado para usar os recursos do Apigee Edge.
O que você precisa saber Autenticação e autorização de borda
É útil entender a diferença entre autenticação e autorização e como O Apigee Edge gerencia essas duas atividades.
Sobre autenticação
Os usuários que acessam o Apigee Edge por meio da interface ou de APIs precisam ser autenticados. Por padrão, as credenciais do usuário do Edge para autenticação são armazenadas em uma instância interna do OpenLDAP. Normalmente, os usuários precisam se registrar ou receber uma solicitação para fazer isso em uma conta da Apigee. Nesse momento, eles fornecem o nome de usuário, o endereço de e-mail, as credenciais da senha e outros metadados. Essas informações são armazenadas e gerenciadas pelo LDAP de autenticação.
No entanto, se você quiser usar um LDAP externo para gerenciar credenciais de usuário em nome do Edge, basta configurar o Edge para usar o sistema LDAP externo em vez do interno. Quando um LDAP externo for configurado, as credenciais do usuário serão validadas em relação a esse repositório externo, conforme explicado neste documento.
Sobre a autorização
Os administradores da organização de borda podem conceder permissões específicas aos usuários para interagir com entidades do Apigee Edge, como proxies de API, produtos, caches, implantações e assim por diante. As permissões são concedidas pela atribuição de funções aos usuários. O Edge inclui várias funções integradas e, se necessário, os administradores da organização podem definir funções personalizadas. Por exemplo, um usuário pode receber autorização (por meio de uma função) para criar e atualizar proxies de API, mas não para implantá-los em um ambiente de produção.
A chave de credencial usada pelo sistema de autorização do Edge é o endereço de e-mail do usuário. Essa credencial (junto de outros metadados) é sempre armazenada no arquivo LDAP de autorização interna. Esse LDAP é totalmente separado do LDAP de autenticação (interno ou externo).
Os usuários autenticados por um LDAP externo também precisam ser provisionados manualmente no sistema LDAP de autorização. Os detalhes são explicados neste documento.
Para mais informações sobre autorização e controle de acesso baseado em função (RBAC, na sigla em inglês), consulte Como gerenciar organizações usuários e Atribuir papéis.
Para uma visão mais profunda, consulte também Noções básicas sobre o Edge fluxos de autenticação e autorização.
Entendendo direto e indireto autenticação de vinculação
O recurso de autorização externa oferece suporte às métricas diretas e Autenticação de vinculação indireta por meio do sistema LDAP externo.
Resumo: a autenticação de vinculação indireta exige uma pesquisa no LDAP externo para encontrar credenciais que correspondam ao endereço de e-mail, nome de usuário ou outro ID fornecido pelo usuário no login. Com a autenticação de vinculação direta, nenhuma pesquisa é realizada. As credenciais são enviadas e validados diretamente pelo serviço LDAP. A autenticação de vinculação direta é considerada mais eficiente, porque não é necessário fazer buscas.
Sobre a autenticação de vinculação indireta
Com a autenticação de vinculação indireta, o usuário insere uma credencial, como um endereço de e-mail, nome de usuário ou algum outro atributo, e o Edge pesquisa o sistema de autenticação para essa credencial/valor. Se o resultado da pesquisa for bem-sucedido, o sistema vai extrair o DN LDAP dos resultados da pesquisa e usá-lo com uma senha fornecida para autenticar o usuário.
O ponto principal que você precisa saber é que a autenticação de vinculação indireta exige o autor da chamada (por exemplo, Apigee Edge) para fornecer credenciais de administrador LDAP externo para que o Edge possa "fazer login" para o servidor LDAP e faça a pesquisa. Forneça essas credenciais em um arquivo de configuração do Edge. descrito posteriormente neste documento. Também são descritas etapas para criptografar a credencial de senha.
Sobre a autenticação de vinculação direta
Com a autenticação de vinculação direta, o Edge envia as credenciais inseridas pelo usuário diretamente para o sistema de autenticação externo. Nesse caso, nenhuma pesquisa é realizada no sistema externo. As credenciais fornecidas são bem-sucedidas ou falham (por exemplo, se o usuário não estiver presente no LDAP externo ou se a senha estiver incorreta, o login falhará).
A autenticação de vinculação direta não exige que você configure credenciais de administrador para o sistema de autenticação externa no Apigee Edge (como na autenticação de vinculação indireta). No entanto, há uma etapa de configuração simples que você precisa realizar, conforme descrito em Como configurar a autenticação externa.
Acessar a comunidade da Apigee
A Comunidade Apigee (em inglês) é um recurso gratuito onde você pode entrar em contato com a Apigee e outros clientes da Apigee com perguntas, dicas e outros problemas. Antes de postar na comunidade, primeiro pesquise as postagens existentes para ver se sua pergunta já foi respondida.