W tej sekcji znajdziesz omówienie integracji zewnętrznych usług katalogowych z istniejącą instalacją Apigee Edge w chmurze prywatnej. Ta funkcja została zaprojektowana do współpracy z dowolną usługą katalogową obsługującą LDAP, taką jak Active Directory, SymasLDAP i inne.
Zewnętrzne rozwiązanie LDAP umożliwia administratorom systemów zarządzanie danymi logowania użytkowników za pomocą scentralizowanej usługi zarządzania katalogami, która jest zewnętrzna w stosunku do systemów takich jak Apigee Edge, które z niej korzystają. Funkcja opisana w tym dokumencie obsługuje uwierzytelnianie z użyciem powiązania bezpośredniego i pośredniego.
Szczegółowe instrukcje konfigurowania zewnętrznej usługi katalogowej znajdziesz w artykule Konfigurowanie uwierzytelniania zewnętrznego.
Odbiorcy
W tym dokumencie zakłada się, że jesteś administratorem globalnego systemu Apigee Edge for Private Cloud i masz konto w zewnętrznej usłudze katalogowej.
Przegląd
Domyślnie Apigee Edge używa wewnętrznej instancji SymasLDAP do przechowywania danych logowania, które są używane do uwierzytelniania użytkowników. Możesz jednak skonfigurować Edge tak, aby zamiast wewnętrznej usługi LDAP używał zewnętrznej usługi LDAP do uwierzytelniania. Procedura tej konfiguracji zewnętrznej jest opisana w tym dokumencie.
Edge przechowuje też oparte na rolach dane logowania w oddzielnej, wewnętrznej instancji LDAP. Niezależnie od tego, czy skonfigurujesz zewnętrzną usługę uwierzytelniania, dane logowania do autoryzacji są zawsze przechowywane w tej wewnętrznej instancji LDAP. W tym dokumencie opisujemy procedurę dodawania użytkowników, którzy znajdują się w zewnętrznym systemie LDAP, do LDAP autoryzacji Edge.
Pamiętaj, że uwierzytelnianie odnosi się do potwierdzania tożsamości użytkownika, a autoryzacja do weryfikowania poziomu uprawnień, jakie uwierzytelniony użytkownik ma do korzystania z funkcji Apigee Edge.
Co musisz wiedzieć o uwierzytelnianiu i autoryzacji na urządzeniach brzegowych
Warto znać różnicę między uwierzytelnianiem a autoryzacją oraz wiedzieć, jak Apigee Edge zarządza tymi 2 czynnościami.
Informacje o uwierzytelnianiu
Użytkownicy, którzy uzyskują dostęp do Apigee Edge za pomocą interfejsu lub interfejsów API, muszą być uwierzytelnieni. Domyślnie dane logowania użytkownika Edge do uwierzytelniania są przechowywane w wewnętrznej instancji SymasLDAP. Zazwyczaj użytkownicy muszą zarejestrować się lub zostać poproszeni o zarejestrowanie konta Apigee. W tym czasie podają nazwę użytkownika, adres e-mail, hasło i inne metadane. Te informacje są przechowywane w usłudze LDAP uwierzytelniania i przez nią zarządzane.
Jeśli jednak chcesz używać zewnętrznego protokołu LDAP do zarządzania danymi logowania użytkowników w imieniu Edge, możesz skonfigurować Edge tak, aby korzystał z zewnętrznego systemu LDAP zamiast wewnętrznego. Gdy skonfigurujesz zewnętrzny serwer LDAP, dane logowania użytkowników będą weryfikowane w tym zewnętrznym magazynie danych, jak opisano w tym dokumencie.
Informacje o autoryzacji
Administratorzy organizacji brzegowej mogą przyznawać użytkownikom określone uprawnienia do interakcji z elementami Apigee Edge, takimi jak proxy interfejsu API, usługi, pamięci podręczne, wdrożenia itp. Uprawnienia są przyznawane przez przypisywanie ról użytkownikom. Edge ma kilka wbudowanych ról, a w razie potrzeby administratorzy organizacji mogą definiować role niestandardowe. Użytkownik może na przykład otrzymać autoryzację (za pomocą roli) do tworzenia i aktualizowania serwerów proxy interfejsu API, ale nie do wdrażania ich w środowisku produkcyjnym.
Kluczowe dane logowania używane przez system autoryzacji Edge to adres e-mail użytkownika. Te dane logowania (wraz z innymi metadanymi) są zawsze przechowywane w wewnętrznym katalogu LDAP autoryzacji Edge. Ten LDAP jest całkowicie oddzielony od LDAP-u uwierzytelniania (wewnętrznego lub zewnętrznego).
Użytkownicy uwierzytelnieni za pomocą zewnętrznego protokołu LDAP muszą być też ręcznie udostępnieni w systemie LDAP autoryzacji. Szczegółowe informacje znajdziesz w tym dokumencie.
Więcej informacji o autoryzacji i RBAC znajdziesz w artykułach Zarządzanie użytkownikami organizacji i Przypisywanie ról.
Więcej informacji znajdziesz w artykule Understanding Edge authentication and authorization flows (w języku angielskim).
Uwierzytelnianie powiązania bezpośredniego i pośredniego
Funkcja autoryzacji zewnętrznej obsługuje uwierzytelnianie za pomocą bezpośredniego i pośredniego powiązania w zewnętrznym systemie LDAP.
Podsumowanie: uwierzytelnianie przez powiązanie pośrednie wymaga wyszukania w zewnętrznym katalogu LDAP danych logowania pasujących do adresu e-mail, nazwy użytkownika lub innego identyfikatora podanego przez użytkownika podczas logowania. W przypadku uwierzytelniania z bezpośrednim wiązaniem nie jest przeprowadzane wyszukiwanie – dane logowania są wysyłane bezpośrednio do usługi LDAP i w niej weryfikowane. Uwierzytelnianie z bezpośrednim wiązaniem jest uważane za bardziej wydajne, ponieważ nie wymaga wyszukiwania.
Informacje o uwierzytelnianiu za pomocą powiązania pośredniego
W przypadku uwierzytelniania z użyciem powiązania pośredniego użytkownik wpisuje dane logowania, np. adres e-mail, nazwę użytkownika lub inny atrybut, a Edge wyszukuje w systemie uwierzytelniania te dane logowania lub wartość. Jeśli wynik wyszukiwania jest prawidłowy, system wyodrębnia z wyników wyszukiwania LDAP DN i używa go z podanym hasłem do uwierzytelniania użytkownika.
Najważniejsze jest to, że uwierzytelnianie za pomocą powiązania pośredniego wymaga, aby wywołujący (np. Apigee Edge), aby podać zewnętrzne dane logowania administratora LDAP, dzięki czemu Edge może „zalogować się” do zewnętrznego LDAP i przeprowadzić wyszukiwanie. Musisz podać te dane logowania w pliku konfiguracyjnym Edge, który opisujemy w dalszej części tego dokumentu. Opisano też kroki szyfrowania hasła.
Informacje o uwierzytelnianiu bezpośrednim
W przypadku uwierzytelniania z bezpośrednim powiązaniem Edge wysyła dane logowania wpisane przez użytkownika bezpośrednio do zewnętrznego systemu uwierzytelniania. W takim przypadku wyszukiwanie w systemie zewnętrznym nie jest przeprowadzane. Podane dane logowania są prawidłowe lub nieprawidłowe (np. jeśli użytkownik nie jest obecny w zewnętrznym LDAP lub hasło jest nieprawidłowe, logowanie się nie powiedzie).
Uwierzytelnianie z bezpośrednim powiązaniem nie wymaga konfigurowania danych logowania administratora w zewnętrznym systemie uwierzytelniania w Apigee Edge (jak w przypadku uwierzytelniania z pośrednim powiązaniem). Musisz jednak wykonać prosty krok konfiguracji, który opisano w artykule Konfigurowanie zewnętrznego uwierzytelniania.
Dostęp do społeczności Apigee
Społeczność Apigee to bezpłatne źródło informacji, w którym możesz kontaktować się z zespołem Apigee oraz innymi klientami Apigee, aby zadawać pytania, dzielić się wskazówkami i rozwiązywać inne problemy. Zanim opublikujesz post w społeczności, sprawdź, czy Twoje pytanie nie zostało już w niej zadane i czy nie ma na nie odpowiedzi.