Cette section présente la façon dont les services d'annuaire externes s'intègrent à une installation Apigee Edge pour le cloud privé existante. Cette fonctionnalité est conçue pour fonctionner avec n'importe quel service d'annuaire compatible avec LDAP, comme Active Directory, SymasLDAP et d'autres.
Une solution LDAP externe permet aux administrateurs système de gérer les identifiants utilisateur à partir d'un service de gestion d'annuaire centralisé, externe aux systèmes tels qu'Apigee Edge qui les utilisent. La fonctionnalité décrite dans ce document est compatible avec l'authentification par liaison directe et indirecte.
Pour obtenir des instructions détaillées sur la configuration d'un service d'annuaire externe, consultez Configurer l'authentification externe.
Audience
Ce document part du principe que vous êtes un administrateur système global Apigee Edge pour Private Cloud et que vous disposez d'un compte pour le service d'annuaire externe.
Présentation
Par défaut, Apigee Edge utilise une instance SymasLDAP interne pour stocker les identifiants utilisés pour l'authentification des utilisateurs. Toutefois, vous pouvez configurer Edge pour qu'il utilise un service LDAP d'authentification externe au lieu de celui interne. La procédure de configuration externe est expliquée dans ce document.
Edge stocke également les identifiants d'autorisation du contrôle des accès basé sur les rôles dans une instance LDAP interne distincte. Que vous configuriez ou non un service d'authentification externe, les identifiants d'autorisation sont toujours stockés dans cette instance LDAP interne. La procédure d'ajout d'utilisateurs existants dans le système LDAP externe au LDAP d'autorisation Edge est expliquée dans ce document.
Notez que l'authentification fait référence à la validation de l'identité d'un utilisateur, tandis que l'autorisation fait référence à la vérification du niveau d'autorisation accordé à un utilisateur authentifié pour utiliser les fonctionnalités d'Apigee Edge.
Ce que vous devez savoir sur l'authentification et l'autorisation Edge
Il est utile de comprendre la différence entre l'authentification et l'autorisation, et comment Apigee Edge gère ces deux activités.
À propos de l'authentification
Les utilisateurs qui accèdent à Apigee Edge via l'UI ou les API doivent être authentifiés. Par défaut, les identifiants utilisateur Edge pour l'authentification sont stockés dans une instance SymasLDAP interne. En règle générale, les utilisateurs doivent s'inscrire ou être invités à s'inscrire à un compte Apigee. Ils fournissent alors leur nom d'utilisateur, leur adresse e-mail, leurs identifiants de mot de passe et d'autres métadonnées. Ces informations sont stockées et gérées par le LDAP d'authentification.
Toutefois, si vous souhaitez utiliser un serveur LDAP externe pour gérer les identifiants utilisateur au nom d'Edge, vous pouvez le faire en configurant Edge pour qu'il utilise le système LDAP externe au lieu de celui interne. Lorsqu'un LDAP externe est configuré, les identifiants utilisateur sont validés par rapport à ce magasin externe, comme expliqué dans ce document.
À propos de l'autorisation
Les administrateurs d'organisation Edge peuvent accorder des autorisations spécifiques aux utilisateurs pour qu'ils puissent interagir avec les entités Apigee Edge telles que les proxys d'API, les produits, les caches, les déploiements, etc. Les autorisations sont accordées en attribuant des rôles aux utilisateurs. Edge inclut plusieurs rôles intégrés. Si nécessaire, les administrateurs de l'organisation peuvent définir des rôles personnalisés. Par exemple, un utilisateur peut être autorisé (via un rôle) à créer et à mettre à jour des proxys d'API, mais pas à les déployer dans un environnement de production.
L'identifiant clé utilisé par le système d'autorisation Edge est l'adresse e-mail de l'utilisateur. Ces identifiants (ainsi que d'autres métadonnées) sont toujours stockés dans le LDAP d'autorisation interne d'Edge. Ce LDAP est entièrement distinct du LDAP d'authentification (interne ou externe).
Les utilisateurs authentifiés via un LDAP externe doivent également être provisionnés manuellement dans le système LDAP d'autorisation. Vous trouverez plus d'informations dans ce document.
Pour en savoir plus sur l'autorisation et le RBAC, consultez Gérer les utilisateurs de l'organisation et Attribuer des rôles.
Pour en savoir plus, consultez également Comprendre les flux d'authentification et d'autorisation Edge.
Comprendre l'authentification par association directe et indirecte
La fonctionnalité d'autorisation externe est compatible avec l'authentification par liaison directe et indirecte via le système LDAP externe.
Résumé : L'authentification par liaison indirecte nécessite une recherche sur le serveur LDAP externe pour trouver des identifiants correspondant à l'adresse e-mail, au nom d'utilisateur ou à un autre identifiant fourni par l'utilisateur lors de la connexion. Avec l'authentification par association directe, aucune recherche n'est effectuée. Les identifiants sont envoyés au service LDAP et validés directement par celui-ci. L'authentification par liaison directe est considérée comme plus efficace, car elle n'implique aucune recherche.
À propos de l'authentification par liaison indirecte
Avec l'authentification par liaison indirecte, l'utilisateur saisit un identifiant, tel qu'une adresse e-mail, un nom d'utilisateur ou un autre attribut, et Edge recherche cet identifiant/cette valeur dans le système d'authentification. Si la recherche aboutit, le système extrait le nom unique LDAP des résultats de recherche et l'utilise avec un mot de passe fourni pour authentifier l'utilisateur.
Le point clé à retenir est que l'authentification par liaison indirecte nécessite que l'appelant (par exemple, Apigee Edge) pour fournir des identifiants d'administrateur LDAP externes afin qu'Edge puisse se connecter au LDAP externe et effectuer la recherche. Vous devez fournir ces identifiants dans un fichier de configuration Edge, décrit plus loin dans ce document. Des étapes sont également décrites pour chiffrer l'identifiant du mot de passe.
À propos de l'authentification par association directe
Avec l'authentification par liaison directe, Edge envoie les identifiants saisis par un utilisateur directement au système d'authentification externe. Dans ce cas, aucune recherche n'est effectuée sur le système externe. Les identifiants fournis sont valides ou non (par exemple, si l'utilisateur n'est pas présent dans le LDAP externe ou si le mot de passe est incorrect, la connexion échouera).
L'authentification par liaison directe ne vous oblige pas à configurer des identifiants d'administrateur pour le système d'authentification externe dans Apigee Edge (comme pour l'authentification par liaison indirecte). Toutefois, vous devez effectuer une étape de configuration simple, décrite dans Configurer l'authentification externe.
Accéder à la communauté Apigee
La communauté Apigee est une ressource gratuite grâce auquel vous pouvez contacter Apigee, ainsi que d'autres clients Apigee, pour leur poser des questions, demander des conseils et rechercher de l'aide sur d'autres problèmes. Avant de publier dans la communauté, veillez à rechercher d'abord les posts existants pour voir si une question a déjà été traitée.