W tej sekcji znajdziesz omówienie integracji zewnętrznych usług katalogowych z istniejącą instalacją Apigee Edge for Private Cloud. Ta funkcja została zaprojektowana do współpracy z każdą usługą katalogową, która obsługuje LDAP, np. Active Directory, OpenLDAP i inne.
Zewnętrzne rozwiązanie LDAP umożliwia administratorom systemu zarządzanie danymi logowania użytkowników scentralizowaną usługę zarządzania katalogami, zewnętrzny w stosunku do systemów takich jak Apigee Edge, które z nich korzystają. funkcja opisana w tym dokumencie obsługuje wiązanie zarówno bezpośrednie, jak i pośrednie uwierzytelnianie.
Dla: szczegółowe instrukcje konfigurowania zewnętrznej usługi katalogowej można znaleźć w sekcji Konfigurowanie urządzeń zewnętrznych
Odbiorcy
W tym dokumencie zakładamy, że jesteś administratorem globalnego systemu Apigee Edge for Private Cloud i masz konto w zewnętrznej usłudze katalogu.
Omówienie
Domyślnie Apigee Edge używa wewnętrznej instancji OpenLDAP do przechowywania danych logowania, które są używane do uwierzytelniania użytkowników. Możesz jednak skonfigurować przeglądarkę Edge, zewnętrznego uwierzytelniania LDAP zamiast wewnętrznego. Procedura konfiguracji zewnętrznej jest opisana w tym dokumencie.
Edge przechowuje też dane logowania do dostępu opartego na roli w osobnym, wewnętrznym wystąpieniu LDAP. Niezależnie od tego, czy skonfigurujesz zewnętrzną usługę uwierzytelniania, dane logowania zawsze są przechowywane w tym wewnętrznym wystąpieniu LDAP. procedura dodawania użytkowników istniejących w zewnętrznym systemie LDAP do autoryzacji LDAP co wyjaśniamy w tym dokumencie.
Pamiętaj, że uwierzytelnianie oznacza weryfikację tożsamości użytkownika, a autoryzacja oznacza weryfikację poziomu uprawnień, jakie uwierzytelniony użytkownik ma do korzystania z funkcji Apigee Edge.
Niezbędne informacje Uwierzytelnianie i autoryzacja na brzegu
Warto znać różnice między uwierzytelnianiem a autoryzacją oraz wiedzieć, jak Apigee Edge zarządza tymi 2 działaniami.
Informacje uwierzytelnienie
Użytkownicy, którzy uzyskują dostęp do Apigee Edge za pomocą interfejsu użytkownika lub interfejsów API, muszą być uwierzytelnieni. Domyślnie dane logowania użytkowników Edge do uwierzytelniania są przechowywane w wewnętrznym wystąpieniu OpenLDAP. Zazwyczaj użytkownicy muszą zarejestrować się lub zostać poproszeni o zarejestrowanie się na koncie Apigee. W tym czasie podają nazwę użytkownika, adres e-mail, hasło i inne metadane. Te informacje są przechowywane w systemie uwierzytelniania LDAP i zarządzane przez niego.
Jeśli jednak chcesz używać zewnętrznego systemu LDAP do zarządzania poświadczeniami użytkownika w imieniu Edge, możesz to zrobić, konfigurując Edge tak, aby używał zewnętrznego systemu LDAP zamiast wewnętrznego. Po skonfigurowaniu zewnętrznego serwera LDAP dane logowania użytkownika są weryfikowane w tym zewnętrznym magazynie, jak wyjaśniono w tym dokumencie.
Autoryzacja
Administratorzy organizacji brzegowych mogą przyznawać użytkownikom określone uprawnienia, z którymi mogą wchodzić w interakcje Encje Apigee Edge, takie jak serwery proxy API, usługi, pamięci podręczne, wdrożenia itd. Uprawnienia są przyznawane poprzez przypisywanie ról użytkownikom. Edge zawiera kilka wbudowanych ról, a w razie potrzeby administratorzy organizacji mogą definiować role niestandardowe. Użytkownikowi można na przykład przyznać uprawnienia autoryzacji (za pomocą roli) do tworzenia i aktualizowania serwerów proxy API, ale nie do wdrażania ich w w środowisku produkcyjnym.
Dane logowania klucza używane przez system autoryzacji Edge to adres e-mail użytkownika Te dane logowania (wraz z niektórymi innymi metadanymi) są zawsze przechowywane w systemie LDAP autoryzacji wewnętrznej przeglądarki Edge. Ten LDAP jest całkowicie oddzielony od LDAP uwierzytelniania (niezależnie od tego, czy jest wewnętrzny czy zewnętrzny).
Użytkownicy uwierzytelniani za pomocą zewnętrznego LDAP muszą też zostać ręcznie skonfigurowani w systemie autoryzacji LDAP. Szczegóły zostały opisane w tym dokumencie.
Więcej informacji o autoryzacji i kontroli dostępu opartej na rolach znajdziesz w artykułach Zarządzanie użytkownikami organizacji i Przypisywanie ról.
Dokładniejsze informacje znajdziesz w artykule Omówienie Edge uwierzytelniania i autoryzacji.
Czym są bezpośrednie i pośrednie? uwierzytelnianie powiązania
Zewnętrzna funkcja autoryzacji obsługuje zarówno bezpośrednie, jak i pośrednim wiązaniem przy użyciu zewnętrznego systemu LDAP.
Podsumowanie: uwierzytelnianie pośrednio wiążące wymaga wyszukiwania w zewnętrznym katalogu LDAP danych logowania, które pasują do adresu e-mail, nazwy użytkownika lub innego identyfikatora podanego przez użytkownika podczas logowania. W przypadku uwierzytelniania bezpośredniego wiązania nie jest przeprowadzane żadne wyszukiwanie – dane logowania są wysyłane do sprawdzić bezpośrednio przez usługę LDAP. Bezpośrednie uwierzytelnianie z wiązaniem jest uważane za bardziej wydajne, ponieważ nie wymaga wyszukiwania.
Informacje o uwierzytelnianiu pośredniego wiązania
W przypadku uwierzytelniania pośredniego użytkownik wpisuje dane logowania, takie jak adres e-mail, nazwa użytkownika lub inny atrybut, a system uwierzytelniania przeszukuje Edge na potrzeby tego dane logowania/wartość. Jeśli wyszukiwanie zakończy się powodzeniem, system wyodrębni nazwę wyróżniającą LDAP z w wynikach wyszukiwania i używa go po podaniu hasła do uwierzytelniania użytkownika.
Najważniejsze jest to, że uwierzytelnianie pośrednie wymaga, aby wywołujący (np. Apigee Edge), aby umożliwić dostęp do zewnętrznych danych logowania administratora LDAP w Edge w kierunku zewnętrznym LDAP i przeprowadź wyszukiwanie. Musisz podać te dane logowania w pliku konfiguracyjnym Edge, który jest opisany w dalszej części tego dokumentu. Podano też instrukcje szyfrowania hasła.
Informacje o uwierzytelnianiu bezpośredniego wiązania
W przypadku uwierzytelniania bezpośredniego Edge wysyła dane logowania wprowadzone przez użytkownika bezpośrednio do zewnętrznego systemu uwierzytelniania. W takim przypadku w systemie zewnętrznym nie jest przeprowadzane żadne wyszukiwanie. Podane dane logowania są poprawne lub kończą się niepowodzeniem (np. jeśli użytkownik nie jest obecny w zewnętrzny LDAP, a w przypadku nieprawidłowego hasła logowanie się nie powiedzie).
W przypadku uwierzytelniania bezpośredniego nie musisz konfigurować danych logowania administratora w systemie uwierzytelniania zewnętrznego w Apigee Edge (jak w przypadku uwierzytelniania pośredniego). Musisz jednak wykonać prosty krok konfiguracji, który opisano w artykule Konfigurowanie uwierzytelniania zewnętrznego.
Dostęp do społeczności Apigee
Na stronie Apigee Community znajdziesz bezpłatne zasoby, w których możesz skontaktować się z Apigee jako a także z pytaniami, wskazówkami i innymi problemami użytkowników Apigee. Przed opublikowaniem w forum, pamiętaj, aby najpierw przeszukać istniejące posty, aby sprawdzić, czy nie odpowiedział(a).