Questa sezione fornisce una panoramica di come i servizi di directory esterni si integrano con un' installazione esistente di Apigee Edge for Private Cloud. Questa funzionalità è progettata per funzionare con qualsiasi servizio di directory che supporti LDAP, come Active Directory, SymasLDAP e altri.
Una soluzione LDAP esterna consente agli amministratori di sistema di gestire le credenziali utente da un servizio di gestione delle directory centralizzato, esterno a sistemi come Apigee Edge che le utilizzano. La funzionalità descritta in questo documento supporta l'autenticazione con binding diretto e indiretto.
Per istruzioni dettagliate sulla configurazione di un servizio di directory esterno, vedi Configurazione dell'autenticazione esterna.
Pubblico
Questo documento presuppone che tu sia un amministratore di sistema globale di Apigee Edge for Private Cloud e che tu disponga di un account del servizio di directory esterno.
Panoramica
Per impostazione predefinita, Apigee Edge utilizza un'istanza SymasLDAP interna per archiviare le credenziali utilizzate per l'autenticazione degli utenti. Tuttavia, puoi configurare Edge in modo che utilizzi un servizio LDAP di autenticazione esterna anziché quello interno. La procedura per questa configurazione esterna è spiegata in questo documento.
Edge archivia anche le credenziali di autorizzazione basate sui ruoli in un'istanza LDAP interna separata. Indipendentemente dalla configurazione di un servizio di autenticazione esterno, le credenziali di autorizzazione vengono sempre archiviate in questa istanza LDAP interna. La procedura per aggiungere utenti esistenti nel sistema LDAP esterno all'LDAP di autorizzazione Edge è spiegata in questo documento.
Tieni presente che l'autenticazione si riferisce alla convalida dell'identità di un utente, mentre l'autorizzazione si riferisce alla verifica del livello di autorizzazione concesso a un utente autenticato per utilizzare le funzionalità di Apigee Edge.
Informazioni importanti su autenticazione e autorizzazione Edge
È utile comprendere la differenza tra autenticazione e autorizzazione e il modo in cui Apigee Edge gestisce queste due attività.
Informazioni sull'autenticazione
Gli utenti che accedono ad Apigee Edge tramite la UI o le API devono essere autenticati. Per impostazione predefinita, le credenziali utente Edge per l'autenticazione vengono archiviate in un'istanza SymasLDAP interna. In genere, gli utenti devono registrarsi o viene chiesto loro di registrarsi per un account Apigee e in quel momento forniscono il nome utente, l'indirizzo email, le credenziali della password e altri metadati. Queste informazioni vengono memorizzate e gestite da LDAP di autenticazione.
Tuttavia, se vuoi utilizzare un LDAP esterno per gestire le credenziali utente per conto di Edge, puoi farlo configurando Edge in modo che utilizzi il sistema LDAP esterno anziché quello interno. Quando viene configurato un LDAP esterno, le credenziali utente vengono convalidate rispetto a questo archivio esterno, come spiegato in questo documento.
Informazioni sull'autorizzazione
Gli amministratori dell'organizzazione Edge possono concedere autorizzazioni specifiche agli utenti per interagire con entità Apigee Edge come proxy API, prodotti, cache, deployment e così via. Le autorizzazioni vengono concesse tramite l'assegnazione di ruoli agli utenti. Edge include diversi ruoli integrati e, se necessario, gli amministratori dell'organizzazione possono definire ruoli personalizzati. Ad esempio, a un utente può essere concessa l'autorizzazione (tramite un ruolo) per creare e aggiornare i proxy API, ma non per eseguirne il deployment in un ambiente di produzione.
La credenziale chiave utilizzata dal sistema di autorizzazione Edge è l'indirizzo email dell'utente. Questa credenziale (insieme ad altri metadati) viene sempre archiviata nel LDAP di autorizzazione interno di Edge. Questo LDAP è completamente separato dall'LDAP di autenticazione (interno o esterno).
Gli utenti autenticati tramite un LDAP esterno devono essere sottoposti anche al provisioning manuale nel sistema LDAP di autorizzazione. I dettagli sono spiegati in questo documento.
Per ulteriori informazioni sull'autorizzazione e sul controllo dell'accesso basato sui ruoli (RBAC), vedi Gestire gli utenti dell'organizzazione e Assegnare ruoli.
Per una visione più approfondita, vedi anche Informazioni sui flussi di autenticazione e autorizzazione Edge.
Informazioni sull'autenticazione con binding diretto e indiretto
La funzionalità di autorizzazione esterna supporta l'autenticazione con binding diretto e indiretto tramite il sistema LDAP esterno.
Riepilogo: l'autenticazione con binding indiretto richiede una ricerca nell'LDAP esterno di credenziali che corrispondano all'indirizzo email, al nome utente o ad altri ID forniti dall'utente al momento dell'accesso. Con l'autenticazione con binding diretto, non viene eseguita alcuna ricerca: le credenziali vengono inviate e convalidate direttamente dal servizio LDAP. L'autenticazione con binding diretto è considerata più efficiente perché non è necessario eseguire ricerche.
Informazioni sull'autenticazione con binding indiretto
Con l'autenticazione con binding indiretto, l'utente inserisce una credenziale, ad esempio un indirizzo email, un nome utente o un altro attributo, ed Edge cerca questa credenziale/questo valore nel sistema di autenticazione. Se il risultato della ricerca ha esito positivo, il sistema estrae il nome distinto LDAP dai risultati della ricerca e lo utilizza con una password fornita per autenticare l'utente.
Il punto chiave da sapere è che l'autenticazione con binding indiretto richiede al chiamante (ad es. Apigee Edge) per fornire le credenziali di amministratore LDAP esterno in modo che Edge possa "accedere" all'LDAP esterno ed eseguire la ricerca. Devi fornire queste credenziali in un file di configurazione Edge, descritto più avanti in questo documento. Vengono descritti anche i passaggi per criptare la credenziale della password.
Informazioni sull'autenticazione con binding diretto
Con l'autenticazione con binding diretto, Edge invia le credenziali inserite da un utente direttamente al sistema di autenticazione esterno. In questo caso, non viene eseguita alcuna ricerca sul sistema esterno. Le credenziali fornite hanno esito positivo o negativo (ad es. se l'utente non è presente nell'LDAP esterno o se la password non è corretta, l'accesso non andrà a buon fine).
L'autenticazione con binding diretto non richiede la configurazione delle credenziali di amministratore per il sistema di autenticazione esterno in Apigee Edge (come per l'autenticazione con binding indiretto). Tuttavia, esiste un semplice passaggio di configurazione che devi eseguire, descritto in Configurazione dell'autenticazione esterna.
Accedere alla community Apigee
La community Apigee è una risorsa senza costi in cui puoi contattare Apigee e altri clienti Apigee per domande, suggerimenti e altri problemi. Prima di pubblicare un post nella community, assicurati di cercare prima tra i post esistenti per vedere se la tua domanda ha già ricevuto una risposta.