이 섹션에서는 외부 디렉터리 서비스를 기존 Apigee Edge용 프라이빗 클라우드 설치용입니다. 이 기능은 모든 Google Cloud 제품에서 Active Directory, OpenLDAP 등 LDAP를 지원하는 디렉터리 서비스입니다.
외부 LDAP 솔루션을 사용하면 시스템 관리자가 사용자 인증 정보를 사용하는 Apigee Edge와 같은 시스템 외부의 중앙 집중식 디렉터리 관리 서비스에서 사용자 인증 정보를 관리할 수 있습니다. 이 문서에 설명된 기능은 직접 및 간접 바인딩 인증을 모두 지원합니다.
대상 외부 디렉터리 서비스 구성에 대한 자세한 지침은 외부 구성 인증에 대해 자세히 알아보세요.
잠재고객
이 문서에서는 사용자가 프라이빗 클라우드용 Apigee Edge 글로벌 시스템 관리자이고 외부 디렉터리 서비스 계정이 있다고 가정합니다.
개요
기본적으로 Apigee Edge는 내부 OpenLDAP 인스턴스를 사용하여 사용자 인증에 사용되는 사용자 인증 정보를 저장합니다. 하지만 Cloud Shell에서 내부 인증 대신 외부 인증 LDAP 서비스를 사용합니다. 절차 외부 구성에 대한 자세한 내용은 이 문서를 참조하세요.
또한 Edge는 역할 기반 액세스 승인 사용자 인증 정보를 별도의 내부 LDAP 인스턴스에 사용할 수 있습니다 외부 인증 서비스를 구성하든 안 하든 승인 사용자 인증 정보는 이 내부 LDAP 인스턴스에 항상 저장됩니다. 이 외부 LDAP 시스템에 있는 사용자를 Edge 인증 LDAP에 추가하는 절차 이 문서에 설명되어 있습니다
인증은 사용자의 ID를 확인하는 것을 의미하며 승인은 인증된 사용자가 Apigee Edge 기능을 사용하도록 부여된 권한 수준을 확인하는 것을 의미합니다.
알아야 할 사항 에지 인증 및 승인
인증과 승인의 차이와 Apigee Edge에서 이러한 두 활동을 관리하는 방식을 이해하는 것이 좋습니다.
인증 정보
UI 또는 API를 통해 Apigee Edge에 액세스하는 사용자는 인증을 받아야 합니다. 기본적으로 인증을 위한 Edge 사용자 사용자 인증 정보는 내부 OpenLDAP 인스턴스에 저장됩니다. 일반적으로 사용자는 Apigee 계정을 등록하거나 등록하라는 메시지를 받아야 하며, 이때 사용자 이름, 이메일 주소, 비밀번호 사용자 인증 정보, 기타 메타데이터를 제공합니다. 이 정보는 인증 LDAP에 의해 저장되고 관리됩니다.
하지만 외부 LDAP를 사용하여 Edge를 대신하여 사용자 인증 정보를 관리하려면 내부 LDAP 시스템 대신 외부 LDAP 시스템을 사용하도록 Edge를 구성하면 됩니다. 외부 LDAP가 구성되면 이 문서에 설명된 대로 사용자 인증 정보가 해당 외부 저장소에 대해 유효성 검사됩니다.
정보 승인
Edge 조직 관리자는 API 프록시, 제품, 캐시, 배포 등 Apigee Edge 항목과 상호작용할 수 있는 특정 권한을 사용자에게 부여할 수 있습니다. 권한: 사용자에게 역할 할당을 통해 부여될 수 있습니다. Edge에는 몇 가지 기본 제공 역할이 포함되어 있습니다. 필요에 따라 조직 관리자가 커스텀 역할을 정의할 수 있습니다. 예를 들어 사용자에게 API 프록시를 만들고 업데이트할 권한(역할을 통해 부여)은 부여할 수 있지만 프로덕션 환경에 배포할 권한은 부여할 수 없습니다.
Edge 인증 시스템에서 사용하는 키 사용자 인증 정보는 사용자의 이메일 주소입니다. 이 사용자 인증 정보는 다른 일부 메타데이터와 함께 항상 Edge의 내부 승인 LDAP에 저장됩니다. 이 LDAP은 인증 LDAP (인증 LDAP)와 있습니다.
외부 LDAP를 통해 인증된 사용자는 인증 LDAP 시스템입니다. 자세한 내용은 이 문서를 참고하세요.
승인 및 RBAC에 대한 자세한 내용은 조직 관리 참조 사용자 및 할당 역할을 지원합니다.
자세한 내용은 Edge 이해 인증 및 승인 흐름에 대해 자세히 알아보세요.
직접 및 간접 이해 인증 결합
외부 승인 기능은 직접 및 외부 LDAP 시스템을 통한 간접 바인딩 인증
요약: 간접 바인딩 인증을 사용하려면 외부 LDAP에서 로그인 시 사용자가 제공한 이메일 주소, 사용자 이름 또는 기타 ID와 일치하는 사용자 인증 정보를 검색해야 합니다. 직접 바인딩 인증을 사용하면 검색이 실행되지 않습니다. 사용자 인증 정보가 LDAP 서비스로 직접 전송되고 LDAP 서비스에서 직접 검증합니다. 직접 결합 인증은 검색이 필요하지 않으므로 더 효율적이라고 간주됩니다.
간접 바인딩 인증 정보
간접 바인딩 인증을 사용하면 사용자가 이메일 주소, 사용자 이름 또는 기타 속성과 같은 사용자 인증 정보를 입력하면 Edge에서 인증 시스템에서 이 사용자 인증 정보/값을 검색합니다. 검색 결과가 성공하면 시스템은 검색 결과에서 LDAP DN을 추출하고 제공된 비밀번호와 함께 사용하여 사용자를 인증합니다.
간접 바인딩 인증에는 호출자 (예: Apigee Edge)에 외부 LDAP 관리자 사용자 인증 정보를 제공하여 Edge가 외부 LDAP에 '로그인'하고 검색을 실행할 수 있도록 합니다. 이러한 사용자 인증 정보는 이 문서의 뒷부분에서 설명하는 Edge 구성 파일에 제공해야 합니다. 비밀번호를 암호화하는 방법도 설명되어 있습니다. 사용자 인증 정보
직접 결합 인증 정보
직접 결합 인증을 사용하면 Edge는 사용자가 입력한 사용자 인증 정보를 액세스할 수 있습니다 이 경우 외부 시스템에서 검색이 실행되지 않습니다. 제공된 사용자 인증 정보가 성공하거나 실패합니다 (예: 사용자가 외부 LDAP를 사용하거나 비밀번호가 올바르지 않으면 로그인에 실패합니다.
직접 결합 인증에서는 Apigee Edge의 외부 인증 시스템 (간접 바인딩 인증 사용 시) 하지만 간단한 구성 단계를 완료하는 데 필요한 단계는 아래와 같습니다. 구성 외부 인증을 참조하세요.
Apigee 커뮤니티 액세스
Apigee 커뮤니티는 Apigee를 비롯하여 다른 Apigee 고객에게 질문, 팁, 기타 문제를 문의할 수 있는 무료 리소스입니다. 커뮤니티에 게시하기 전에 먼저 기존 게시물을 검색하여 해당 질문에 대해 이미 답변된 적이 있는지를 확인합니다.