Nesta seção, apresentamos uma visão geral de como os serviços de diretório externos se integram a uma instalação atual do Apigee Edge para nuvem privada. Esse recurso foi criado para funcionar com qualquer serviço de diretório compatível com LDAP, como Active Directory, SymasLDAP e outros.
Uma solução LDAP externa permite que os administradores de sistema gerenciem as credenciais de usuário em um serviço centralizado de gerenciamento de diretórios, externo a sistemas como o Apigee Edge, que os usam. O recurso descrito neste documento é compatível com a autenticação de vinculação direta e indireta.
Para instruções detalhadas sobre como configurar um serviço de diretório externo, consulte Configurar a autenticação externa.
Público-alvo
Este documento pressupõe que você seja um administrador global do sistema do Apigee Edge para nuvem privada e que tenha uma conta no serviço de diretório externo.
Visão geral
Por padrão, o Apigee Edge usa uma instância interna do SymasLDAP para armazenar credenciais usadas na autenticação do usuário. No entanto, é possível configurar o Edge para usar um serviço LDAP de autenticação externa em vez do interno. O procedimento para essa configuração externa é explicado neste documento.
O Edge também armazena credenciais de autorização de acesso baseado em papéis em uma instância LDAP interna e separada. Se você configurar ou não um serviço de autenticação externa, as credenciais de autorização serão sempre armazenadas nessa instância LDAP interna. O procedimento para adicionar usuários que existem no sistema LDAP externo ao LDAP de autorização do Edge é explicado neste documento.
Autenticação se refere à validação da identidade de um usuário, enquanto autorização se refere à verificação do nível de permissão concedido a um usuário autenticado para usar os recursos do Apigee Edge.
O que você precisa saber sobre autenticação e autorização do Edge
É útil entender a diferença entre autenticação e autorização e como o Apigee Edge gerencia essas duas atividades.
Sobre a autenticação
Os usuários que acessam o Apigee Edge pela interface ou pelas APIs precisam ser autenticados. Por padrão, as credenciais de usuário do Edge para autenticação são armazenadas em uma instância interna do SymasLDAP. Normalmente, os usuários precisam se registrar ou são solicitados a se registrar em uma conta da Apigee. Nesse momento, eles fornecem o nome de usuário, o endereço de e-mail, as credenciais de senha e outros metadados. Essas informações são armazenadas e gerenciadas pelo LDAP de autenticação.
No entanto, se você quiser usar um LDAP externo para gerenciar as credenciais de usuário em nome do Edge, configure o Edge para usar o sistema LDAP externo em vez do interno. Quando um LDAP externo é configurado, as credenciais do usuário são validadas em relação a esse armazenamento externo, conforme explicado neste documento.
Sobre a autorização
Os administradores da organização do Edge podem conceder permissões específicas aos usuários para interagir com entidades do Apigee Edge, como proxies de API, produtos, caches, implantações etc. As permissões são concedidas com a atribuição de papéis aos usuários. O Edge inclui várias funções integradas e, se necessário, os administradores da organização podem definir funções personalizadas. Por exemplo, um usuário pode receber autorização (por uma função) para criar e atualizar proxies de API, mas não para implantá-los em um ambiente de produção.
A credencial de chave usada pelo sistema de autorização do Edge é o endereço de e-mail do usuário. Essa credencial (junto com outros metadados) sempre é armazenada no LDAP de autorização interna do Edge. Esse LDAP é totalmente separado do LDAP de autenticação (interno ou externo).
Os usuários autenticados por um LDAP externo também precisam ser provisionados manualmente no sistema LDAP de autorização. Os detalhes estão explicados neste documento.
Para mais informações sobre autorização e RBAC, consulte Gerenciar usuários da organização e Atribuir funções.
Para uma visão mais detalhada, consulte também Entender os fluxos de autenticação e autorização do Edge.
Noções básicas sobre autenticação de vinculação direta e indireta
O recurso de autorização externa oferece suporte à autenticação de vinculação direta e indireta pelo sistema LDAP externo.
Resumo: a autenticação de vinculação indireta exige uma pesquisa no LDAP externo para credenciais que correspondam ao endereço de e-mail, nome de usuário ou outro ID fornecido pelo usuário no login. Com a autenticação de vinculação direta, nenhuma pesquisa é realizada. As credenciais são enviadas e validadas diretamente pelo serviço LDAP. A autenticação de vinculação direta é considerada mais eficiente porque não envolve pesquisa.
Sobre a autenticação de vinculação indireta
Com a autenticação de vinculação indireta, o usuário insere uma credencial, como um endereço de e-mail, nome de usuário ou algum outro atributo, e o Edge pesquisa o sistema de autenticação para essa credencial/valor. Se a pesquisa for bem-sucedida, o sistema vai extrair o DN LDAP dos resultados e usá-lo com uma senha fornecida para autenticar o usuário.
O ponto principal é que a autenticação de vinculação indireta exige que o chamador (por exemplo, Apigee Edge) para fornecer credenciais de administrador LDAP externas para que o Edge possa "fazer login" no LDAP externo e realizar a pesquisa. Você precisa fornecer essas credenciais em um arquivo de configuração do Edge, descrito mais adiante neste documento. As etapas para criptografar a credencial de senha também são descritas.
Sobre a autenticação de vinculação direta
Com a autenticação de vinculação direta, o Edge envia as credenciais inseridas por um usuário diretamente para o sistema de autenticação externo. Nesse caso, nenhuma pesquisa é realizada no sistema externo. As credenciais fornecidas são aceitas ou falham. Por exemplo, se o usuário não estiver presente no LDAP externo ou se a senha estiver incorreta, o login vai falhar.
A autenticação de vinculação direta não exige que você configure credenciais de administrador para o sistema de autenticação externa no Apigee Edge (como na autenticação de vinculação indireta). No entanto, há uma etapa de configuração simples que você precisa realizar, descrita em Configurar autenticação externa.
Acessar a comunidade Apigee
A Comunidade Apigee (em inglês) é um recurso gratuito onde você pode entrar em contato com a Apigee e outros clientes da Apigee com perguntas, dicas e outros problemas. Antes de postar na comunidade, primeiro pesquise as postagens existentes para ver se sua pergunta já foi respondida.