Bagian ini memberikan ringkasan tentang cara layanan direktori eksternal terintegrasi dengan penginstalan Apigee Edge untuk Private Cloud yang ada. Fitur ini dirancang untuk berfungsi dengan layanan direktori apa pun yang mendukung LDAP, seperti Active Directory, SymasLDAP, dan lainnya.
Solusi LDAP eksternal memungkinkan administrator sistem mengelola kredensial pengguna dari layanan pengelolaan direktori terpusat, eksternal ke sistem seperti Apigee Edge yang menggunakannya. Fitur yang dijelaskan dalam dokumen ini mendukung autentikasi pengikatan langsung dan tidak langsung.
Untuk petunjuk mendetail tentang cara mengonfigurasi layanan direktori eksternal, lihat Mengonfigurasi autentikasi eksternal.
Audiens
Dokumen ini mengasumsikan bahwa Anda adalah administrator sistem global Apigee Edge untuk Private Cloud dan Anda memiliki akun di layanan direktori eksternal.
Ringkasan
Secara default, Apigee Edge menggunakan instance SymasLDAP internal untuk menyimpan kredensial yang digunakan untuk autentikasi pengguna. Namun, Anda dapat mengonfigurasi Edge untuk menggunakan layanan LDAP autentikasi eksternal, bukan layanan internal. Prosedur untuk konfigurasi eksternal ini dijelaskan dalam dokumen ini.
Edge juga menyimpan kredensial otorisasi akses berbasis peran dalam instance LDAP internal yang terpisah. Terlepas dari apakah Anda mengonfigurasi layanan autentikasi eksternal atau tidak, kredensial otorisasi selalu disimpan di instance LDAP internal ini. Prosedur untuk menambahkan pengguna yang ada di sistem LDAP eksternal ke LDAP otorisasi Edge dijelaskan dalam dokumen ini.
Perhatikan bahwa autentikasi mengacu pada validasi identitas pengguna, sedangkan otorisasi mengacu pada verifikasi tingkat izin yang diberikan kepada pengguna yang diautentikasi untuk menggunakan fitur Apigee Edge.
Yang perlu Anda ketahui tentang autentikasi dan otorisasi Edge
Penting untuk memahami perbedaan antara otentikasi dan otorisasi serta cara Apigee Edge mengelola kedua aktivitas ini.
Tentang autentikasi
Pengguna yang mengakses Apigee Edge melalui UI atau API harus diautentikasi. Secara default, kredensial pengguna Edge untuk autentikasi disimpan dalam instance SymasLDAP internal. Biasanya, pengguna harus mendaftar atau diminta untuk mendaftar akun Apigee, dan pada saat itu mereka memberikan nama pengguna, alamat email, kredensial sandi, dan metadata lainnya. Informasi ini disimpan dan dikelola oleh LDAP autentikasi.
Namun, jika ingin menggunakan LDAP eksternal untuk mengelola kredensial pengguna atas nama Edge, Anda dapat melakukannya dengan mengonfigurasi Edge untuk menggunakan sistem LDAP eksternal, bukan sistem internal. Saat LDAP eksternal dikonfigurasi, kredensial pengguna divalidasi terhadap penyimpanan eksternal tersebut, seperti yang dijelaskan dalam dokumen ini.
Tentang otorisasi
Administrator organisasi Edge dapat memberikan izin tertentu kepada pengguna untuk berinteraksi dengan entitas Apigee Edge seperti proxy API, produk, cache, deployment, dan sebagainya. Izin diberikan melalui penetapan peran kepada pengguna. Edge mencakup beberapa peran bawaan, dan, jika diperlukan, administrator organisasi dapat menentukan peran kustom. Misalnya, pengguna dapat diberi otorisasi (melalui peran) untuk membuat dan memperbarui proxy API, tetapi tidak untuk men-deploy-nya ke lingkungan produksi.
Kredensial utama yang digunakan oleh sistem otorisasi Edge adalah alamat email pengguna. Kredensial ini (bersama dengan beberapa metadata lainnya) selalu disimpan di LDAP otorisasi internal Edge. LDAP ini sepenuhnya terpisah dari LDAP autentikasi (baik internal maupun eksternal).
Pengguna yang diautentikasi melalui LDAP eksternal juga harus disediakan secara manual ke dalam sistem LDAP otorisasi. Detailnya dijelaskan dalam dokumen ini.
Untuk mengetahui latar belakang otorisasi dan RBAC lebih lanjut, lihat Mengelola pengguna organisasi dan Menetapkan peran.
Untuk melihat lebih dalam, lihat juga Memahami alur otorisasi dan autentikasi Edge.
Memahami autentikasi pengikatan langsung dan tidak langsung
Fitur otorisasi eksternal mendukung autentikasi pengikatan langsung dan tidak langsung melalui sistem LDAP eksternal.
Ringkasan: Autentikasi binding tidak langsung memerlukan penelusuran di LDAP eksternal untuk kredensial yang cocok dengan alamat email, nama pengguna, atau ID lain yang diberikan oleh pengguna saat login. Dengan autentikasi pengikatan langsung, tidak ada penelusuran yang dilakukan--kredensial dikirim ke dan divalidasi oleh layanan LDAP secara langsung. Autentikasi pengikatan langsung dianggap lebih efisien karena tidak ada penelusuran yang terlibat.
Tentang autentikasi pengikatan tidak langsung
Dengan autentikasi pengikatan tidak langsung, pengguna memasukkan kredensial, seperti alamat email, nama pengguna, atau beberapa atribut lainnya, dan Edge akan menelusuri sistem autentikasi untuk kredensial/nilai ini. Jika hasil penelusuran berhasil, sistem akan mengekstrak DN LDAP dari hasil penelusuran dan menggunakannya dengan sandi yang diberikan untuk mengautentikasi pengguna.
Poin penting yang perlu diketahui adalah bahwa autentikasi pengikatan tidak langsung memerlukan pemanggil (misalnya, Apigee Edge) untuk memberikan kredensial admin LDAP eksternal sehingga Edge dapat "login" ke LDAP eksternal dan melakukan penelusuran. Anda harus memberikan kredensial ini dalam file konfigurasi Edge, yang dijelaskan nanti dalam dokumen ini. Langkah-langkah juga dijelaskan untuk mengenkripsi kredensial sandi.
Tentang autentikasi pengikatan langsung
Dengan autentikasi pengikatan langsung, Edge mengirimkan kredensial yang dimasukkan oleh pengguna langsung ke sistem autentikasi eksternal. Dalam hal ini, tidak ada penelusuran yang dilakukan di sistem eksternal. Kredensial yang diberikan berhasil atau gagal (misalnya, jika pengguna tidak ada di LDAP eksternal atau jika sandinya salah, login akan gagal).
Autentikasi pengikatan langsung tidak mengharuskan Anda mengonfigurasi kredensial admin untuk sistem autentikasi eksternal di Apigee Edge (seperti pada autentikasi pengikatan tidak langsung); namun, ada langkah konfigurasi sederhana yang harus Anda lakukan, yang dijelaskan dalam Mengonfigurasi autentikasi eksternal.
Mengakses komunitas Apigee
Komunitas Apigee adalah sumber daya gratis tempat Anda dapat menghubungi Apigee serta pelanggan Apigee lainnya untuk mengajukan pertanyaan, mendapatkan tips, dan membahas masalah lainnya. Sebelum memposting ke komunitas, pastikan untuk menelusuri postingan yang ada terlebih dahulu untuk melihat apakah pertanyaan Anda sudah terjawab.