Questa sezione fornisce una panoramica su come i servizi di directory esterne si integrano con l'installazione esistente di Apigee Edge per il cloud privato. Questa funzionalità è progettata per funzionare con qualsiasi servizio directory che supporta LDAP, come Active Directory, OpenLDAP e altri.
Una soluzione LDAP esterna consente agli amministratori di sistema di gestire le credenziali utente da un un servizio centralizzato di gestione delle directory, esterno ai sistemi come Apigee Edge che li utilizzano. La descritta in questo documento supporta l'associazione diretta e indiretta autenticazione.
Per istruzioni dettagliate sulla configurazione di un servizio directory esterno, consulta Configurare l'autenticazione esterna.
Pubblico
Questo documento presuppone che tu sia un amministratore di sistema globale di Apigee Edge per Private Cloud e che tu abbia un account del servizio directory esterno.
Panoramica
Per impostazione predefinita, Apigee Edge utilizza un'istanza OpenLDAP interna per archiviare le credenziali utilizzate per l'autenticazione utente. Tuttavia, puoi configurare Edge in modo che utilizzi servizio LDAP di autenticazione esterna anziché quello interno. La procedura configurazione esterna è spiegata in questo documento.
Edge memorizza anche le credenziali di autorizzazione di accesso basato su ruoli in un'istanza LDAP interna distinta. Che configuri o meno un servizio di autenticazione esterno, le credenziali di autorizzazione sono sempre archiviate in questa istanza LDAP interna. La procedura per aggiungere gli utenti esistenti nel sistema LDAP esterno all'LDAP di autorizzazione di Edge è descritta in questo documento.
Tieni presente che con autenticazione si intende la convalida dell'identità di un utente, mentre l'autorizzazione si riferisce alla verifica del livello di autorizzazione concesso a un utente autenticato per l'utilizzo di Apigee Edge le funzionalità di machine learning.
Informazioni importanti Autenticazione e autorizzazione perimetrale
È utile comprendere la differenza tra autenticazione e autorizzazione e come Apigee Edge gestisce queste due attività.
Informazioni sull'autenticazione
Gli utenti che accedono ad Apigee Edge tramite UI o API devono essere autenticati. Per impostazione predefinita, le credenziali utente di Edge per l'autenticazione sono memorizzate in un'istanza OpenLDAP interna. In genere, gli utenti devono registrarsi o devono essere invitati a registrarsi per un account Apigee e in quel momento forniscono il nome utente, l'indirizzo email, le credenziali della password e altri metadati. Queste informazioni vengono archiviate e gestite dall'autenticazione LDAP.
Tuttavia, se vuoi utilizzare un LDAP esterno per gestire le credenziali utente per conto di Edge, può farlo configurando Edge in modo che utilizzi il sistema LDAP esterno anziché quello interno. Quando configurato un LDAP esterno, le credenziali utente vengono convalidate in base a tale archivio esterno, spiegate in questo documento.
Informazioni autorizzazione
Gli amministratori dell'organizzazione perimetrale possono concedere autorizzazioni specifiche agli utenti per l'interazione con Entità Apigee Edge come proxy API, prodotti, cache, deployment e così via. Le autorizzazioni vengono concesse tramite l'assegnazione dei ruoli agli utenti. Edge include diversi ruoli integrati e, se necessario, gli amministratori dell'organizzazione possono definire ruoli personalizzati. Ad esempio, a un utente può essere concessa l'autorizzazione (tramite un ruolo) per creare e aggiornare i proxy API, ma non per eseguirne il deployment in un ambiente di produzione.
La credenziale chiave utilizzata dal sistema di autorizzazione di Edge è l'indirizzo email dell'utente. Questa credenziale (insieme ad alcuni altri metadati) viene sempre archiviata nell'autorizzazione LDAP interna di Edge. Questo LDAP è completamente separato dall'LDAP di autenticazione (che sia interno o esterno).
Anche gli utenti autenticati tramite un LDAP esterno devono essere sottoposti a provisioning manuale nel sistema LDAP di autorizzazione. I dettagli sono spiegati in questo documento.
Per ulteriori informazioni sull'autorizzazione e sul modello RBAC, vedi Gestire gli utenti dell'organizzazione e Assegnare i ruoli.
Per una visione più approfondita, consulta anche Informazioni sui flussi di autenticazione e autorizzazione di Edge.
Comprendere le attività dirette e indirette associazione autenticazione
La funzionalità di autorizzazione esterna supporta l'autenticazione dei vincoli sia diretta che indiretta tramite il sistema LDAP esterno.
Riepilogo: l'autenticazione tramite associazione indiretta richiede una ricerca nell'LDAP esterno per le credenziali corrispondenti all'indirizzo email, al nome utente o a un altro ID fornito dall'utente al momento dell'accesso. Con l'autenticazione tramite associazione diretta, non viene eseguita alcuna ricerca: le credenziali vengono inviate e convalidate direttamente dal servizio LDAP. L'autenticazione per l'associazione diretta è considerata sono efficienti perché non richiedono alcuna ricerca.
Informazioni sull'autenticazione per associazione indiretta
Con l'autenticazione tramite associazione indiretta, l'utente inserisce una credenziale, ad esempio un indirizzo email, un nome utente o un altro attributo, e Edge cerca questa credenziale/questo valore nel sistema di autenticazione. Se la ricerca ha esito positivo, il sistema estrae il DN LDAP dalla nei risultati di ricerca e la utilizza con una password fornita per autenticare l'utente.
Il punto chiave da sapere è che l'autenticazione per l'associazione indiretta richiede il chiamante (ad es. Apigee Edge) per fornire le credenziali di amministratore LDAP esterno in modo che Edge possa "accedere" all'LDAP esterno e eseguire la ricerca. Devi fornire queste credenziali in un file di configurazione Edge, come descritto più avanti in questo documento. Sono descritti anche i passaggi per criptare la password la credenziale.
Informazioni sull'autenticazione tramite associazione diretta
Con l'autenticazione di associazione diretta, Edge invia le credenziali inserite da un utente direttamente al sistema di autenticazione esterno. In questo caso, non viene eseguita alcuna ricerca nel sistema esterno. Le credenziali fornite vanno a buon fine o meno (ad es. se l'utente non è presente nell'LDAP esterno o se la password non è corretta, l'accesso non andrà a buon fine).
L'autenticazione per l'associazione diretta non richiede la configurazione delle credenziali di amministratore per sistema di autenticazione esterno in Apigee Edge (come l'autenticazione di associazione indiretta); Tuttavia, esiste un semplice passaggio di configurazione che è necessario eseguire, descritto in Configurazione autenticazione esterna.
Accedere alla community di Apigee
La community Apigee è una risorsa senza costi con cui puoi contattare Apigee come e quella di altri clienti Apigee per domande, suggerimenti e altri problemi. Prima di pubblicare un post nella community, assicurati di cercare i post esistenti per vedere se la tua domanda ha già ricevuto una risposta.