הקטע הזה מספק סקירה כללית של האופן שבו שירותי ספריות חיצוניים משתלבים עם של Apigee Edge קיים להתקנת ענן פרטי. התכונה הזו נועדה לפעול עם כל שירות ספרייה שתומך ב-LDAP, כמו Active Directory, OpenLDAP ועוד.
פתרון LDAP חיצוני מאפשר למנהלי מערכות לנהל פרטי כניסה של משתמשים שירות ניהול ספריות ריכוזי, חיצוני למערכות כמו Apigee Edge שמשתמשות בהם. התכונה שמתוארת במסמך הזה תומכת באימות קישור ישיר וגם באימות קישור עקיף.
עבור להוראות מפורטות להגדרת שירות ספריות חיצוני, הגדרת מערכת חיצונית אימות.
קהל
במסמך הזה נניח שאתם אדמינים גלובלים של מערכת Apigee Edge לענן פרטי, ושיש לכם חשבון בשירות הספרייה החיצוני.
סקירה כללית
כברירת מחדל, ב-Apigee Edge משתמשים במכונת OpenLDAP פנימית כדי לאחסן פרטי כניסה שנעשה בהם שימוש לצורך אימות המשתמשים. עם זאת, אפשר להגדיר את Edge להשתמש בשירות LDAP חיצוני לאימות במקום בשירות הפנימי. ההליך לתצורה החיצונית הזו מוסבר במסמך זה.
Edge גם שומר את פרטי הכניסה להרשאות הגישה מבוססי-התפקידים מופע LDAP פנימי. בין אם תגדירו שירות אימות חיצוני ובין אם לא, פרטי הכניסה להרשאה מאוחסנים תמיד במופע ה-LDAP הפנימי הזה. תהליך להוספת משתמשים שקיימים במערכת ה-LDAP החיצונית ל-LDAP של הרשאות Edge מוסברים במסמך הזה.
חשוב לזכור שאימות מתייחס לאימות הזהות של משתמש, ואילו הרשאה מתייחסת לאימות רמת ההרשאה שמשתמש מאומת מקבל לשימוש בתכונות של Apigee Edge.
מה עלייך לדעת על אימות והרשאה של Edge
כדאי להבין את ההבדל בין אימות להרשאה ואת האופן שבו Apigee Edge מנהל את שתי הפעילויות האלה.
מידע אימות
משתמשים שניגשים ל-Apigee Edge דרך ממשק המשתמש או ממשקי API חייבים לעבור אימות. כברירת מחדל, פרטי הכניסה של משתמש קצה לצורך אימות מאוחסנים במופע OpenLDAP פנימי. בדרך כלל, המשתמשים צריכים להירשם לחשבון Apigee או שהם מתבקשים להירשם, ובשלב הזה הם מספקים את שם המשתמש, כתובת האימייל, פרטי הכניסה והסיסמה שלהם ומטא-נתונים אחרים. המידע הזה הוא מאוחסנים ומנוהלים על ידי LDAP לאימות.
עם זאת, אם אתם רוצים להשתמש ב-LDAP חיצוני כדי לנהל את פרטי הכניסה של המשתמשים מטעם Edge, תוכלו להגדיר את Edge כך שישתמש במערכת ה-LDAP החיצונית במקום במערכת הפנימית. מתי מוגדר LDAP חיצוני, פרטי כניסה של משתמשים מאומתים מול חנות חיצונית זו, כמו שמוסברים במסמך הזה.
מידע על הרשאה
אדמינים ארגוניים של Edge יכולים להעניק הרשאות ספציפיות למשתמשים כדי שיוכלו לקיים איתם אינטראקציה ישויות של Apigee Edge כמו שרתי proxy ל-API, מוצרים, מטמון, פריסות וכו'. ההרשאות הן המוענקות למשתמשים באמצעות הקצאת תפקידים. Edge כולל כמה תפקידים מובנים, בהתאם לצורך, מנהלי מערכת בארגון יכולים להגדיר תפקידים בהתאמה אישית. לדוגמה, ניתן להעניק למשתמש הרשאה (באמצעות תפקיד) ליצור ולעדכן שרתי proxy ל-API, אבל לא לפרוס אותם בסביבת הייצור.
פרטי הכניסה של המפתח שמערכת ההרשאות של Edge משתמשת בהם הם כתובת האימייל של המשתמש. פרטי הכניסה האלה (יחד עם מטא-נתונים אחרים) תמיד מאוחסנים ב-LDAP של ההרשאה הפנימית של Edge. LDAP זה נפרד לחלוטין מ-LDAP לאימות (אם פנימי או חיצוני).
גם משתמשים שאומתו באמצעות LDAP חיצוני צריכים לקבל הקצאה ידנית מערכת ה-LDAP של ההרשאות. הפרטים מפורטים במסמך הזה.
מידע נוסף על הרשאה ועל RBAC זמין במאמרים ניהול משתמשים בארגון והקצאת תפקידים.
תוכלו לקרוא גם את המאמר הסבר על תהליכי האימות וההרשאה ב-Edge.
הבנת הנושא של ישיר ועקיף אימות קישור
תכונת ההרשאה החיצונית תומכת גם בעבודה ישירה וגם אימות עקיף באמצעות מערכת ה-LDAP החיצונית.
סיכום: כדי לאמת קישור עקיף, צריך לבצע חיפוש בדף החיצוני LDAP לפרטי כניסה שתואמים לכתובת האימייל, לשם המשתמש או למזהה אחר שסופק על ידי המשתמש ב- . עם אימות קישור ישיר, לא מתבצע חיפוש – פרטי הכניסה נשלחים אל אומת ישירות על ידי שירות ה-LDAP. אימות קישור ישיר נחשב יותר יעיל מכיוון שלא מתבצע חיפוש.
מידע על אימות קישור עקיף
באימות קישור עקיף, המשתמש מזין פרטי כניסה, כמו כתובת אימייל, שם משתמש או מאפיין אחר, ומערכת האימות של Edge מחפשת את פרטי הכניסה או הערך הזה. אם תוצאת החיפוש מוצלחת, המערכת מחלצת את ה-DN של LDAP מתוצאות החיפוש ומשתמשת בו עם הסיסמה שסופקה כדי לאמת את המשתמש.
הנקודה החשובה לדעת היא שאימות קישור עקיף מחייב את מבצע הקריאה החוזרת (למשל, Apigee Edge) כדי לספק פרטי כניסה חיצוניים של אדמין LDAP כדי ש-Edge יוכל "להתחבר". לגורמים חיצוניים LDAP וביצוע החיפוש. עליך לספק את פרטי הכניסה האלה בקובץ תצורה של Edge. שמתואר בהמשך במסמך הזה. מתוארים גם שלבים להצפנת פרטי הכניסה של הסיסמה.
מידע על אימות קישור ישיר
באימות קישור ישיר, Edge שולח את פרטי הכניסה שהמשתמש מזין ישירות למערכת האימות החיצונית. במקרה כזה, לא מתבצע חיפוש במערכת החיצונית. פרטי הכניסה שסופקו מוצלחים או לא (למשל, אם המשתמש לא נמצא ב-LDAP החיצוני או אם הסיסמה שגויה, ההתחברות תיכשל).
באימות קישור ישיר לא צריך להגדיר פרטי כניסה של אדמין למערכת האימות החיצונית ב-Apigee Edge (כמו באימות קישור עקיף). עם זאת, יש שלב הגדרה פשוט שצריך לבצע, שמתואר בקטע הגדרת אימות חיצוני.
גישה לקהילת Apigee
קהילת Apigee היא משאב חינמי שבו אפשר ליצור קשר עם Apigee בתור וגם לקוחות אחרים של Apigee שיש להם שאלות, טיפים ובעיות אחרות. לפני פרסום פוסט הקהילה, הקפידו לחפש תחילה בפוסטים קיימים כדי לראות אם השאלה שלכם כבר נענתה.