בקטע הזה מוסבר איך שירותי ספריות חיצוניים משתלבים עם התקנה קיימת של Apigee Edge for Private Cloud. התכונה הזו נועדה לעבוד עם כל שירות ספריות שתומך ב-LDAP, כמו Active Directory, SymasLDAP ועוד.
פתרון LDAP חיצוני מאפשר לאדמינים של המערכת לנהל את פרטי הכניסה של המשתמשים משירות מרכזי לניהול ספריות, חיצוני למערכות כמו Apigee Edge שמשתמשות בהן. התכונה שמתוארת במסמך הזה תומכת באימות של קשירה ישירה ועקיפה.
הוראות מפורטות להגדרת שירות ספריות חיצוני זמינות במאמר הגדרת אימות חיצוני.
קהל
במסמך הזה מניחים שאתם אדמינים גלובליים של מערכת Apigee Edge for Private Cloud ושיש לכם חשבון בשירות מדריך חיצוני.
סקירה כללית
כברירת מחדל, Apigee Edge משתמש במופע פנימי של SymasLDAP כדי לאחסן פרטי כניסה שמשמשים לאימות משתמשים. עם זאת, אפשר להגדיר את Edge כך שישתמש בשירות LDAP חיצוני לאימות במקום בשירות הפנימי. ההליך להגדרה חיצונית מוסבר במסמך הזה.
ב-Edge מאוחסנים גם פרטי הרשאה לגישה מבוססת-תפקידים במופע LDAP פנימי נפרד. בין אם מגדירים שירות אימות חיצוני ובין אם לא, פרטי ההרשאה תמיד מאוחסנים במופע הפנימי הזה של LDAP. במסמך הזה מוסבר איך להוסיף משתמשים שקיימים במערכת LDAP חיצונית ל-LDAP של הרשאות הגישה ב-Edge.
שימו לב שאימות מתייחס לאימות הזהות של משתמש, בעוד שהרשאה מתייחסת לאימות רמת ההרשאה שניתנת למשתמש מאומת להשתמש בתכונות של Apigee Edge.
מה צריך לדעת על אימות והרשאה ב-Edge
חשוב להבין את ההבדל בין אימות להרשאה, ואיך Apigee Edge מנהל את שתי הפעילויות האלה.
מידע על אימות
משתמשים שניגשים ל-Apigee Edge דרך ממשק המשתמש או ממשקי ה-API צריכים לעבור אימות. כברירת מחדל, פרטי הכניסה של משתמשי Edge לאימות מאוחסנים במופע פנימי של SymasLDAP. בדרך כלל, המשתמשים צריכים להירשם לחשבון Apigee או להתבקש להירשם, ובמהלך ההרשמה הם מספקים את שם המשתמש, כתובת האימייל, פרטי הסיסמה ומטא-נתונים אחרים. המידע הזה מאוחסן ומנוהל על ידי LDAP לאימות.
עם זאת, אם רוצים להשתמש ב-LDAP חיצוני כדי לנהל את פרטי הכניסה של המשתמשים בשם Edge, אפשר לעשות זאת על ידי הגדרת Edge לשימוש במערכת LDAP חיצונית במקום במערכת הפנימית. כשמגדירים LDAP חיצוני, פרטי הכניסה של המשתמשים מאומתים מול המאגר החיצוני הזה, כמו שמוסבר במסמך הזה.
מידע על הרשאה
מנהלי מערכת בארגון Edge יכולים להעניק למשתמשים הרשאות ספציפיות לאינטראקציה עם ישויות של Apigee Edge, כמו שרתי proxy ל-API, מוצרים, מטמונים, פריסות וכן הלאה. ההרשאות מוענקות באמצעות הקצאת תפקידים למשתמשים. Edge כולל כמה תפקידים מובנים, ואם יש צורך, אדמינים בארגון יכולים להגדיר תפקידים בהתאמה אישית. לדוגמה, אפשר להעניק למשתמש הרשאה (באמצעות תפקיד) ליצור ולעדכן שרתי proxy ל-API, אבל לא לפרוס אותם בסביבת ייצור.
פרטי הכניסה של המפתח שמשמשים את מערכת ההרשאות של Edge הם כתובת האימייל של המשתמש. האישורים האלה (יחד עם מטא-נתונים אחרים) תמיד מאוחסנים ב-LDAP הפנימי של Edge לצורך הרשאה. ה-LDAP הזה נפרד לחלוטין מ-LDAP לאימות (פנימי או חיצוני).
משתמשים שאומתו דרך LDAP חיצוני צריכים גם להיות מוקצים באופן ידני למערכת ההרשאות של LDAP. הפרטים מוסברים במסמך הזה.
מידע נוסף על הרשאות ועל RBAC זמין במאמרים ניהול משתמשים בארגון והקצאת תפקידים.
למידע נוסף, אפשר לעיין גם במאמר הסבר על תהליכי האימות וההרשאה ב-Edge.
הסבר על אימות ישיר ועקיף של קישור
תכונת ההרשאה החיצונית תומכת באימות ישיר ועקיף באמצעות מערכת LDAP חיצונית.
סיכום: אימות באמצעות קישור עקיף מחייב חיפוש ב-LDAP החיצוני של פרטי כניסה שתואמים לכתובת האימייל, לשם המשתמש או למזהה אחר שהמשתמש סיפק בכניסה. באימות באמצעות קישור ישיר, לא מתבצע חיפוש – פרטי הכניסה נשלחים ישירות לשירות ה-LDAP ומאומתים על ידו. אימות באמצעות קישור ישיר נחשב ליעיל יותר כי לא צריך לחפש את המידע.
מידע על אימות באמצעות קישור עקיף
באימות עם קישור עקיף, המשתמש מזין פרטי כניסה, כמו כתובת אימייל, שם משתמש או מאפיין אחר, ו-Edge מחפש את פרטי הכניסה או הערך האלה במערכת האימות. אם תוצאת החיפוש מוצלחת, המערכת מחלצת את ה-DN של LDAP מתוצאות החיפוש ומשתמשת בו עם סיסמה שסופקה כדי לאמת את המשתמש.
הנקודה החשובה היא שאימות באמצעות קישור עקיף מחייב את המתקשר (למשל, Apigee Edge) כדי לספק פרטי כניסה של אדמין חיצוני ב-LDAP, כך ש-Edge יוכל "להיכנס" ל-LDAP החיצוני ולבצע את החיפוש. צריך לספק את פרטי הכניסה האלה בקובץ הגדרות של Edge, שמתואר בהמשך המאמר הזה. בנוסף, מפורטים השלבים להצפנת הסיסמה של פרטי הכניסה.
מידע על אימות באמצעות קישור ישיר
באימות עם קישור ישיר, Edge שולח את פרטי הכניסה שהוזנו על ידי המשתמש ישירות למערכת האימות החיצונית. במקרה כזה, לא מתבצע חיפוש במערכת החיצונית. פרטי הכניסה שסופקו יצליחו או ייכשלו (לדוגמה, אם המשתמש לא נמצא ב-LDAP החיצוני או אם הסיסמה שגויה, הכניסה תיכשל).
באימות באמצעות קישור ישיר לא צריך להגדיר פרטי כניסה של אדמין למערכת האימות החיצונית ב-Apigee Edge (כמו באימות באמצעות קישור עקיף). עם זאת, יש שלב פשוט בהגדרה שצריך לבצע, והוא מתואר במאמר הגדרת אימות חיצוני.
גישה לקהילת Apigee
קהילת Apigee היא מקור מידע חינמי שבו אפשר ליצור קשר עם Apigee וגם עם לקוחות אחרים של Apigee כדי לשאול שאלות, לשתף טיפים ולדווח על בעיות אחרות. לפני שאתם מפרסמים פוסט בקהילה, כדאי לבצע חיפוש בפוסטים הקיימים כדי לבדוק אם כבר יש תשובה לשאלה שלכם.