Пограничные потоки аутентификации и авторизации

В этом документе объясняется, как работают аутентификация и авторизация в Apigee Edge. Эта информация может оказаться полезным контекстом при настройке внешнего LDAP с помощью Apigee Edge.

Потоки аутентификации и авторизации зависят от того, проходит ли пользователь аутентификацию через пользовательский интерфейс управления или через API.

При входе через пользовательский интерфейс

Когда вы входите в Edge через пользовательский интерфейс, Edge выполняет отдельный шаг входа на сервер управления Apigee, используя учетные данные глобального системного администратора Edge.

Следующие шаги входа в пользовательский интерфейс показаны на рисунке 1:

  1. Пользователь вводит учетные данные для входа в пользовательский интерфейс входа.
  2. Edge входит в систему на сервере управления, используя учетные данные глобального системного администратора.
  3. Учетные данные глобального системного администратора аутентифицированы и авторизованы. Пользовательский интерфейс использует эти учетные данные для выполнения определенных запросов API платформы.
    1. Если включена внешняя аутентификация, учетные данные аутентифицируются по внешнему LDAP, в противном случае используется внутренний Edge LDAP.
    2. Авторизация всегда выполняется на основе внутреннего LDAP, если только вы не включили внешнее сопоставление ролей .
  4. Учетные данные, введенные пользователем, аутентифицируются и авторизуются.
    1. Если включена внешняя аутентификация, учетные данные аутентифицируются по внешнему LDAP, в противном случае используется внутренний Edge LDAP.
    2. Авторизация всегда выполняется на основе внутреннего LDAP, если только вы не включили внешнее сопоставление ролей .

На следующем изображении показана авторизация и аутентификация через пользовательский интерфейс Edge:

Рисунок 1. Авторизация и аутентификация через интерфейс Edge.

При входе через API

Когда вы входите в Edge через API, используются только учетные данные, введенные с помощью API. В отличие от входа в систему через пользовательский интерфейс, отдельный вход с учетными данными системного администратора не требуется.

Следующие шаги входа в API показаны на рисунке 2:

  1. Пользователь вводит учетные данные для входа в пользовательский интерфейс входа.
  2. Учетные данные, введенные пользователем, аутентифицируются и авторизуются.
  3. Если включена внешняя аутентификация, учетные данные аутентифицируются по внешнему LDAP, в противном случае используется внутренний Edge LDAP.
  4. Авторизация всегда выполняется на основе внутреннего LDAP, если только вы не включили внешнее сопоставление ролей .

На следующем изображении показаны авторизация и аутентификация через Edge API:

Рисунок 2. Авторизация и аутентификация через Edge API.