このセクションでは、外部ディレクトリ サービスが Cloud Logging とどのように 既存の Apigee Edge for Private Cloud インストール環境です。この機能は、 LDAP をサポートするディレクトリ サービス(Active Directory、OpenLDAP など)です。
外部 LDAP ソリューションを使用すると、システム管理者は、ユーザー認証情報を使用するシステム(Apigee Edge など)の外部にある集中管理されたディレクトリ管理サービスでユーザー認証情報を管理できます。このドキュメントで説明する機能は、直接バインディング認証と間接バインディング認証の両方をサポートしています。
対象 外部ディレクトリ サービスの構成手順について詳しくは、 外部 IP アドレスを構成する 認証をご覧ください。
オーディエンス
このドキュメントでは、ユーザーが Apigee Edge for Private Cloud のグローバル システム管理者であり、外部ディレクトリ サービスのアカウントを持っていることを前提としています。
概要
デフォルトでは、Apigee Edge は内部 OpenLDAP インスタンスを使用して、使用する認証情報を保存します。 認証に使用することもできます。ただし、Edge で、Cloud Logging または 外部認証 LDAP サービスを使用します。手順 このドキュメントでは、この外部構成について説明します。
また、ロールベースのアクセス認可の認証情報も別の内部 LDAP インスタンスに格納されます。外部認証サービスを構成しても、この内部 LDAP インスタンスには、認可の認証情報が常に保存されます。外部 LDAP システムに存在するユーザーを Edge 認可 LDAP に追加する手順は、このドキュメントに記載しています。
認証とはユーザーの ID を検証することであり、認可とは 認証されたユーザーが Apigee Edge を使用するための権限レベルを確認すること 説明します。
Edge の認証と認可について知っておくべきこと
認証と認可の違いや、Apigee Edge がこれら 2 つのアクティビティをどのように管理するかについて理解することは有益です。
基本情報 認証
UI または API から Apigee Edge にアクセスするユーザーは、認証を受ける必要があります。デフォルトでは 認証用の Edge ユーザー認証情報は、内部の OpenLDAP インスタンスに保存されます。通常、 Apigee アカウントに登録するか、登録を求められ、その時点で ユーザー名、メールアドレス、パスワード認証情報、その他のメタデータなどです。この情報は認証 LDAP に格納され、管理されます。
ただし、外部 LDAP を使用して Edge の代わりにユーザー認証情報を管理する場合、内部 LDAP サーバーではなく外部 LDAP システムを使用するように Edge を構成することで、これが可能になります。日時 外部 LDAP が構成されている場合、ユーザー認証情報はその外部ストアに対して検証されます。 説明します。
基本情報 承認
エッジ組織管理者は、操作する特定の権限をユーザーに付与できる API プロキシ、プロダクト、キャッシュ、デプロイなどの Apigee Edge エンティティ。権限は ユーザーに付与します。Edge にはいくつかの組み込みロールが含まれています。 組織管理者はカスタムロールを定義できます。たとえば、あるユーザーは、API プロキシの作成と更新を行う権限を(ロールを介して)付与されるものの、本番環境へのデプロイはできないなどです。
Edge 認可システムが使用するキー認証情報は、ユーザーのメールアドレスです。この認証情報は(他のメタデータとともに)、常に Edge の内部認可 LDAP に格納されます。この LDAP は、認証 LDAP とは完全に別のものです( 内部または外部)。
外部 LDAP によって認証されているユーザーについては、この認可 LDAP システムに手動でプロビジョニングする必要があります。詳細については、このドキュメントをご覧ください。
認可と RBAC の詳細な背景情報については、組織の管理 ユーザーと割り当て ロールをご覧ください。
詳細については、Edge 認証と認可フローについてもご覧ください。
直接と間接のバインディング認証について
外部認可機能は、外部 LDAP システムによる直接バインディング認証と間接バインディング認証の両方をサポートします。
概要: 間接バインディング認証では、ログイン時にユーザーから提供されたメールアドレス、ユーザー名、または他の ID と一致する認証情報を外部 LDAP で検索する必要があります。直接バインディング認証では、検索は実施されません。つまり、認証情報は LDAP サービスに直接送信され、検証されます。直接バインディング認証には検索が含まれていないため、より効率的であると考えられます。
間接バインディング認証について
間接バインディング認証では、ユーザーはメールアドレス、ユーザー名、その他の属性などの認証情報を入力し、Edge は認証システムでこの認証情報 / 値を検索します。検索結果が成功すると、システムから LDAP DN が抽出されます。 提供されたパスワードを使用してユーザーを認証します。
知っておくべき重要なポイントは、間接バインディング認証では、Edge が外部 LDAP に「ログイン」して検索を実施できるように、呼び出し元(たとえば Apigee Edge)が外部 LDAP の管理者認証情報を提供する必要があることです。これらの認証情報は、このドキュメントで後述する Edge 構成ファイルで指定する必要があります。パスワード認証情報を暗号化する手順についても説明します。
直接バインディング認証について
直接バインディング認証では、ユーザーが入力した認証情報が Edge に直接送信され、 認証できます。この場合、外部システムに対する検索は実施されません。提供された認証情報が成功するか失敗するか( 正しくない外部 LDAP または外部 LDAP など)によって、ログインに失敗します。
直接バインディング認証では、SSH 認証鍵の Apigee Edge の外部認証システム(間接バインディング認証の場合と同様)ただし、 構成手順を行うだけで済みます。これについては、 構成 外部認証をご覧ください。
Apigee コミュニティにアクセスする
Apigee コミュニティは、Apigee に関する質問、ヒント、その他の問題について Apigee のスタッフや他の Apigee ユーザーに問い合わせることや、情報交換を行える無料のリソースです。コミュニティに投稿する前に、既存の投稿を検索して同じ質問に対する回答がないかどうかご確認ください。