In diesem Abschnitt erhalten Sie einen Überblick darüber, wie externe Verzeichnisdienste in eine vorhandene Apigee Edge for Private Cloud-Installation eingebunden werden. Diese Funktion ist für die Verwendung mit jedem Verzeichnisdienst konzipiert, der LDAP unterstützt, z. B. Active Directory oder SymasLDAP.
Mit einer externen LDAP-Lösung können Systemadministratoren Nutzeranmeldedaten über einen zentralen Verzeichnisverwaltungsdienst verwalten, der sich außerhalb von Systemen wie Apigee Edge befindet, die sie verwenden. Die in diesem Dokument beschriebene Funktion unterstützt sowohl die direkte als auch die indirekte Bindungsauthentifizierung.
Eine detaillierte Anleitung zum Konfigurieren eines externen Verzeichnisdienstes finden Sie unter Externe Authentifizierung konfigurieren.
Zielgruppe
In diesem Dokument wird davon ausgegangen, dass Sie ein globaler Systemadministrator für Apigee Edge for Private Cloud sind und ein Konto im externen Verzeichnisdienst haben.
Übersicht
Standardmäßig verwendet Apigee Edge eine interne SymasLDAP-Instanz zum Speichern von Anmeldedaten, die für die Nutzerauthentifizierung verwendet werden. Sie können Edge jedoch so konfigurieren, dass anstelle des internen ein externer LDAP-Dienst zur Authentifizierung verwendet wird. Das Verfahren für diese externe Konfiguration wird in diesem Dokument beschrieben.
Edge speichert auch Autorisierungsanmeldedaten für die rollenbasierte Zugriffssteuerung in einer separaten, internen LDAP-Instanz. Unabhängig davon, ob Sie einen externen Authentifizierungsdienst konfigurieren, werden Autorisierungsanmeldedaten immer in dieser internen LDAP-Instanz gespeichert. In diesem Dokument wird beschrieben, wie Sie Nutzer, die im externen LDAP-System vorhanden sind, dem Edge-Autorisierungs-LDAP hinzufügen.
Authentifizierung bezieht sich auf die Validierung der Identität eines Nutzers, während sich die Autorisierung auf die Überprüfung der Berechtigungsstufe bezieht, die einem authentifizierten Nutzer für die Verwendung von Apigee Edge-Funktionen gewährt wird.
Wissenswertes über die Authentifizierung und Autorisierung am Edge
Es ist hilfreich, den Unterschied zwischen Authentifizierung und Autorisierung zu kennen und zu wissen, wie Apigee Edge diese beiden Aktivitäten verwaltet.
Authentifizierung
Nutzer, die über die Benutzeroberfläche oder APIs auf Apigee Edge zugreifen, müssen authentifiziert werden. Standardmäßig werden Edge-Nutzeranmeldedaten für die Authentifizierung in einer internen SymasLDAP-Instanz gespeichert. In der Regel müssen sich Nutzer für ein Apigee-Konto registrieren oder werden dazu aufgefordert. Dabei geben sie ihren Nutzernamen, ihre E-Mail-Adresse, ihre Anmeldedaten und andere Metadaten an. Diese Informationen werden im LDAP für die Authentifizierung gespeichert und verwaltet.
Wenn Sie jedoch ein externes LDAP verwenden möchten, um Nutzeranmeldedaten für Edge zu verwalten, können Sie Edge so konfigurieren, dass das externe anstelle des internen LDAP-Systems verwendet wird. Wenn ein externes LDAP konfiguriert ist, werden Nutzeranmeldedaten anhand dieses externen Speichers validiert, wie in diesem Dokument beschrieben.
Autorisierung
Edge-Organisationsadministratoren können Nutzern bestimmte Berechtigungen erteilen, damit sie mit Apigee Edge-Entitäten wie API-Proxys, Produkten, Caches und Bereitstellungen interagieren können. Berechtigungen werden durch die Zuweisung von Rollen an Nutzer gewährt. Edge umfasst mehrere integrierte Rollen. Bei Bedarf können Organisationsadministratoren benutzerdefinierte Rollen definieren. Einem Nutzer kann beispielsweise die Berechtigung (über eine Rolle) zum Erstellen und Aktualisieren von API-Proxys erteilt werden, nicht aber zum Bereitstellen in einer Produktionsumgebung.
Die Schlüsselanmeldedaten, die vom Edge-Autorisierungssystem verwendet werden, sind die E-Mail-Adresse des Nutzers. Diese Anmeldedaten (zusammen mit einigen anderen Metadaten) werden immer im internen Autorisierungs-LDAP von Edge gespeichert. Dieses LDAP ist vollständig vom Authentifizierungs-LDAP (intern oder extern) getrennt.
Nutzer, die über ein externes LDAP authentifiziert werden, müssen auch manuell im Autorisierungs-LDAP-System bereitgestellt werden. Weitere Informationen finden Sie in diesem Dokument.
Weitere Informationen zur Autorisierung und RBAC finden Sie unter Organisationsnutzer verwalten und Rollen zuweisen.
Weitere Informationen finden Sie unter Authentifizierungs- und Autorisierungsabläufe für Edge verstehen.
Authentifizierung für direktes und indirektes Binden
Das Feature „Externe Autorisierung“ unterstützt sowohl die direkte als auch die indirekte Bindungsauthentifizierung über das externe LDAP-System.
Zusammenfassung: Für die Authentifizierung mit indirekter Bindung ist eine Suche im externen LDAP nach Anmeldedaten erforderlich, die mit der E-Mail-Adresse, dem Nutzernamen oder einer anderen ID übereinstimmen, die der Nutzer bei der Anmeldung angegeben hat. Bei der Authentifizierung mit direkter Bindung wird keine Suche durchgeführt. Anmeldedaten werden direkt an den LDAP-Dienst gesendet und von diesem validiert. Die Authentifizierung über die direkte Bindung gilt als effizienter, da keine Suche erforderlich ist.
Indirekte Authentifizierung
Bei der Authentifizierung mit indirekter Bindung gibt der Nutzer Anmeldedaten wie eine E‑Mail-Adresse, einen Nutzernamen oder ein anderes Attribut ein und Edge sucht im Authentifizierungssystem nach diesen Anmeldedaten bzw. diesem Wert. Wenn das Suchergebnis erfolgreich ist, extrahiert das System den LDAP-DN aus den Suchergebnissen und verwendet ihn mit einem angegebenen Passwort, um den Nutzer zu authentifizieren.
Wichtig ist, dass für die Authentifizierung über die indirekte Bindung der Aufrufer (z.B. Apigee Edge) externe LDAP-Administratoranmeldedaten bereitstellen, damit sich Edge im externen LDAP anmelden und die Suche ausführen kann. Sie müssen diese Anmeldedaten in einer Edge-Konfigurationsdatei angeben, die weiter unten in diesem Dokument beschrieben wird. Außerdem werden Schritte zum Verschlüsseln der Passwortanmeldedaten beschrieben.
Authentifizierung mit direkter Bindung
Bei der Authentifizierung mit direkter Bindung sendet Edge die von einem Nutzer eingegebenen Anmeldedaten direkt an das externe Authentifizierungssystem. In diesem Fall wird keine Suche im externen System durchgeführt. Die angegebenen Anmeldedaten sind entweder erfolgreich oder nicht (z.B. wenn der Nutzer nicht im externen LDAP vorhanden ist oder das Passwort falsch ist, schlägt die Anmeldung fehl).
Für die Authentifizierung mit direkter Bindung müssen Sie keine Administratoranmeldedaten für das externe Authentifizierungssystem in Apigee Edge konfigurieren (wie bei der Authentifizierung mit indirekter Bindung). Es gibt jedoch einen einfachen Konfigurationsschritt, den Sie ausführen müssen. Dieser wird unter Externe Authentifizierung konfigurieren beschrieben.
Auf die Apigee-Community zugreifen
Die Apigee-Community ist eine kostenlose Ressource, über die Sie Apigee sowie andere Apigee-Kunden mit Fragen, Tipps und anderen Problemen kontaktieren können. Bevor Sie eine Frage in der Community posten, sollten Sie zuerst nach vorhandenen Beiträgen suchen, um zu sehen, ob Ihre Frage bereits beantwortet wurde.