Phần này cung cấp thông tin tổng quan về cách các dịch vụ thư mục bên ngoài tích hợp với một để cài đặt ứng dụng Apigee Edge để cài đặt Đám mây riêng tư hiện có. Tính năng này được thiết kế để hoạt động với mọi dịch vụ thư mục hỗ trợ LDAP, chẳng hạn như Active Directory, OpenLDAP và các dịch vụ khác.
Giải pháp LDAP bên ngoài cho phép quản trị viên hệ thống quản lý thông tin đăng nhập của người dùng từ một dịch vụ quản lý thư mục tập trung, bên ngoài các hệ thống như Apigee Edge sử dụng thông tin đăng nhập đó. Tính năng được mô tả trong tài liệu này hỗ trợ cả xác thực liên kết trực tiếp và gián tiếp.
Để hướng dẫn chi tiết về cách định cấu hình dịch vụ thư mục bên ngoài, xem Định cấu hình bên ngoài xác thực.
Đối tượng
Tài liệu này giả định rằng bạn là quản trị viên hệ thống toàn cầu của Apigee Edge cho Private Cloud và bạn có tài khoản dịch vụ thư mục bên ngoài.
Tổng quan
Theo mặc định, Apigee Edge sử dụng một thực thể OpenLDAP nội bộ để lưu trữ thông tin đăng nhập được dùng để xác thực người dùng. Tuy nhiên, bạn có thể định cấu hình Edge để sử dụng dịch vụ LDAP xác thực bên ngoài thay vì dịch vụ nội bộ. Quy trình cho cấu hình bên ngoài này được giải thích trong tài liệu này.
Edge cũng lưu trữ thông tin xác thực ủy quyền truy cập dựa trên vai trò trong một tệp riêng, thực thể LDAP nội bộ. Liệu bạn có định cấu hình một dịch vụ xác thực bên ngoài hay không, thông tin xác thực uỷ quyền luôn được lưu trữ trong phiên bản LDAP nội bộ này. Quy trình thêm người dùng tồn tại trong hệ thống LDAP bên ngoài vào LDAP uỷ quyền Edge được giải thích trong tài liệu này.
Xin lưu ý rằng xác thực là việc xác thực danh tính của người dùng, trong khi uỷ quyền đề cập đến việc xác minh cấp độ quyền mà một người dùng đã xác thực được cấp để sử dụng Apigee Edge các tính năng AI mới.
Những điều bạn cần biết Xác thực và uỷ quyền cạnh
Bạn nên tìm hiểu sự khác biệt giữa xác thực và uỷ quyền cũng như Apigee Edge quản lý 2 hoạt động này.
Giới thiệu về quy trình xác thực
Những người dùng truy cập vào Apigee Edge thông qua giao diện người dùng hoặc API phải được xác thực. Theo mặc định, thông tin xác thực của người dùng Edge được lưu trữ trong một thực thể OpenLDAP nội bộ. Thông thường, người dùng phải đăng ký hoặc phải đăng ký tài khoản Apigee, đồng thời họ sẽ cung cấp tên người dùng, địa chỉ email, thông tin xác thực mật khẩu và siêu dữ liệu khác. Thông tin này được lưu trữ trong và được quản lý bởi LDAP xác thực.
Tuy nhiên, nếu muốn sử dụng LDAP bên ngoài để thay mặt Edge quản lý thông tin xác thực của người dùng, bạn có thể làm như vậy bằng cách định cấu hình Edge để sử dụng hệ thống LDAP bên ngoài thay vì hệ thống LDAP nội bộ. Khi bạn định cấu hình một LDAP bên ngoài, thông tin xác thực của người dùng sẽ được xác thực dựa trên kho bên ngoài đó, như được giải thích trong tài liệu này.
Giới thiệu khoản uỷ quyền
Quản trị viên tổ chức Edge có thể cấp cho người dùng các quyền cụ thể để tương tác với các thực thể Apigee Edge như proxy API, sản phẩm, bộ nhớ đệm, bản triển khai, v.v. Quyền được cấp thông qua việc chỉ định vai trò cho người dùng. Edge có một số vai trò tích hợp sẵn và nếu cần, quản trị viên tổ chức có thể xác định các vai trò tuỳ chỉnh. Ví dụ: người dùng có thể được cấp quyền uỷ quyền (thông qua một vai trò) để tạo và cập nhật các proxy API, nhưng không triển khai chúng cho môi trường sản xuất.
Thông tin xác thực chính mà hệ thống uỷ quyền Edge sử dụng là địa chỉ email của người dùng. Thông tin xác thực này (cùng với một số siêu dữ liệu khác) luôn được lưu trữ trong LDAP uỷ quyền nội bộ của Edge. LDAP này hoàn toàn tách biệt với LDAP xác thực (cho dù nội bộ hoặc bên ngoài).
Những người dùng được xác thực thông qua LDAP bên ngoài cũng phải được cấp phép theo cách thủ công vào hệ thống LDAP uỷ quyền. Thông tin chi tiết được giải thích trong tài liệu này.
Để biết thêm thông tin cơ bản về việc uỷ quyền và RBAC, hãy xem phần Quản lý tổ chức người dùng và Chỉ định vai trò.
Để hiểu rõ hơn, hãy xem thêm phần Tìm hiểu về quy trình xác thực và uỷ quyền của Edge.
Tìm hiểu giá trị trực tiếp và gián tiếp xác thực liên kết
Tính năng uỷ quyền bên ngoài hỗ trợ cả xác thực liên kết trực tiếp và gián tiếp thông qua hệ thống LDAP bên ngoài.
Tóm tắt: Phương thức xác thực liên kết gián tiếp yêu cầu tìm kiếm trên LDAP bên ngoài để tìm thông tin xác thực khớp với địa chỉ email, tên người dùng hoặc mã nhận dạng khác do người dùng cung cấp khi đăng nhập. Với phương thức xác thực liên kết trực tiếp, hệ thống sẽ không thực hiện tìm kiếm nào – thông tin xác thực sẽ được gửi trực tiếp đến và xác thực bằng dịch vụ LDAP. Xác thực ràng buộc trực tiếp được coi là nhiều hơn hiệu quả vì không cần thực hiện tìm kiếm.
Giới thiệu về phương thức xác thực liên kết gián tiếp
Với phương thức xác thực liên kết gián tiếp, người dùng nhập thông tin xác thực, chẳng hạn như địa chỉ email, tên người dùng hoặc một số thuộc tính khác và Edge sẽ tìm kiếm hệ thống xác thực cho thông tin xác thực/giá trị này. Nếu kết quả tìm kiếm thành công, hệ thống sẽ trích xuất DN LDAP từ kết quả tìm kiếm và sử dụng kết quả này với mật khẩu được cung cấp để xác thực người dùng.
Điểm quan trọng cần biết là phương thức xác thực liên kết gián tiếp cần có phương thức gọi (ví dụ: Apigee Edge) để cung cấp thông tin đăng nhập quản trị LDAP bên ngoài để Edge có thể "đăng nhập" vào LDAP bên ngoài và thực hiện tìm kiếm. Bạn phải cung cấp các thông tin đăng nhập này trong tệp cấu hình Edge, được mô tả ở phần sau của tài liệu này. Các bước cũng được mô tả để mã hoá mật khẩu chứng chỉ danh tính.
Giới thiệu về phương thức xác thực liên kết trực tiếp
Với xác thực liên kết trực tiếp, Edge gửi thông tin xác thực mà người dùng đã nhập trực tiếp đến hệ thống xác thực bên ngoài. Trong trường hợp này, hệ thống bên ngoài sẽ không thực hiện tìm kiếm. Bạn có thể cung cấp thành công hoặc không cung cấp thông tin đăng nhập (ví dụ: nếu người dùng không có mặt trong LDAP bên ngoài hoặc nếu mật khẩu không chính xác, việc đăng nhập sẽ không thành công).
Phương thức xác thực liên kết trực tiếp không yêu cầu bạn định cấu hình thông tin xác thực của quản trị viên cho hệ thống xác thực bên ngoài trong Apigee Edge (như với phương thức xác thực liên kết gián tiếp); tuy nhiên, bạn phải thực hiện một bước định cấu hình đơn giản được mô tả trong phần Định cấu hình xác thực bên ngoài.
Tiếp cận cộng đồng Apigee
Cộng đồng Apigee là một tài nguyên miễn phí, nơi bạn có thể liên hệ với Apigee cũng như các khách hàng Apigee khác để trao đổi về câu hỏi, mẹo và các vấn đề khác. Trước khi đăng lên , hãy nhớ tìm kiếm các bài đăng hiện có trước để xem câu hỏi của bạn đã được đã trả lời.