В этом разделе представлен обзор интеграции внешних служб каталогов с существующей установкой Apigee Edge for Private Cloud. Эта функция предназначена для работы с любой службой каталогов, поддерживающей LDAP, например, Active Directory, SymasLDAP и другими.
Внешнее решение LDAP позволяет системным администраторам управлять учётными данными пользователей из централизованной службы управления каталогами, внешней по отношению к таким системам, как Apigee Edge, которые их используют. Функция, описанная в этом документе, поддерживает как прямую, так и косвенную аутентификацию с привязкой.
Подробные инструкции по настройке внешней службы каталогов см. в разделе Настройка внешней аутентификации .
Аудитория
В этом документе предполагается, что вы являетесь глобальным системным администратором Apigee Edge для частного облака и у вас есть учетная запись во внешней службе каталогов.
Обзор
По умолчанию Apigee Edge использует внутренний экземпляр SymasLDAP для хранения учётных данных, используемых для аутентификации пользователей. Однако вы можете настроить Edge на использование внешнего LDAP-сервиса аутентификации вместо внутреннего. Процедура настройки внешнего LDAP-сервиса описана в этом документе.
Edge также хранит учётные данные авторизации доступа на основе ролей в отдельном внутреннем экземпляре LDAP. Независимо от того, настроена ли внешняя служба аутентификации, учётные данные авторизации всегда хранятся в этом внутреннем экземпляре LDAP. Процедура добавления пользователей, существующих во внешней системе LDAP, в LDAP авторизации Edge описана в этом документе.
Обратите внимание, что аутентификация подразумевает проверку личности пользователя, тогда как авторизация подразумевает проверку уровня разрешения, предоставленного аутентифицированному пользователю для использования функций Apigee Edge.
Что вам нужно знать об аутентификации и авторизации Edge
Полезно понимать разницу между аутентификацией и авторизацией, а также то, как Apigee Edge управляет этими двумя действиями.
Об аутентификации
Пользователи, получающие доступ к Apigee Edge через пользовательский интерфейс или API, должны пройти аутентификацию. По умолчанию учётные данные пользователя Edge для аутентификации хранятся во внутреннем экземпляре SymasLDAP. Как правило, пользователи должны зарегистрироваться или им предлагается зарегистрировать учётную запись Apigee, указав при этом своё имя пользователя, адрес электронной почты, пароль и другие метаданные. Эта информация хранится и управляется LDAP-сервером аутентификации.
Однако, если вы хотите использовать внешний LDAP для управления учётными данными пользователей от имени Edge, вы можете настроить Edge на использование внешней системы LDAP вместо внутренней. При настройке внешнего LDAP учётные данные пользователей проверяются с помощью этого внешнего хранилища, как описано в этом документе.
О авторизации
Администраторы организации Edge могут предоставлять пользователям определённые разрешения на взаимодействие с сущностями Apigee Edge, такими как прокси-серверы API, продукты, кэши, развертывания и т. д. Разрешения предоставляются путём назначения пользователям ролей. Edge включает несколько встроенных ролей, и при необходимости администраторы организации могут определять собственные роли. Например, пользователю может быть предоставлено разрешение (через роль) на создание и обновление прокси-серверов API, но не на их развертывание в производственной среде.
Ключевыми учётными данными, используемыми системой авторизации Edge, являются адрес электронной почты пользователя . Эти учётные данные (вместе с некоторыми другими метаданными) всегда хранятся во внутреннем LDAP-сервере авторизации Edge. Этот LDAP полностью отделен от LDAP-сервера аутентификации (как внутреннего, так и внешнего).
Пользователи, аутентифицированные через внешний LDAP, также должны быть вручную добавлены в систему авторизации LDAP. Подробности см. в этом документе.
Дополнительную информацию об авторизации и RBAC см. в разделах Управление пользователями организации и Назначение ролей .
Более подробную информацию см. также в разделе Общие сведения о потоках аутентификации и авторизации Edge .
Понимание прямой и косвенной привязки аутентификации
Функция внешней авторизации поддерживает как прямую , так и косвенную аутентификацию с привязкой через внешнюю систему LDAP.
Краткое описание : Аутентификация с непрямым связыванием требует поиска во внешнем LDAP-сервере учётных данных, соответствующих адресу электронной почты, имени пользователя или другому идентификатору, предоставленному пользователем при входе в систему. При аутентификации с прямым связыванием поиск не выполняется — учётные данные напрямую отправляются в службу LDAP и проверяются ею. Аутентификация с прямым связыванием считается более эффективной, поскольку не требует поиска.
О косвенной привязке аутентификации
При аутентификации с непрямой привязкой пользователь вводит учётные данные, например адрес электронной почты, имя пользователя или другой атрибут, а Edge ищет эти учётные данные/значение в системе аутентификации. Если поиск успешен, система извлекает LDAP DN из результатов поиска и использует его вместе с предоставленным паролем для аутентификации пользователя.
Важно знать, что для аутентификации с непрямым связыванием вызывающая сторона (например, Apigee Edge) должна предоставить внешние учётные данные администратора LDAP, чтобы Edge мог войти во внешний LDAP и выполнить поиск. Эти учётные данные необходимо указать в файле конфигурации Edge, который описан далее в этом документе. Также описаны шаги по шифрованию учётных данных пароля.
О прямой привязке аутентификации
При аутентификации с прямым связыванием Edge отправляет введённые пользователем учётные данные непосредственно во внешнюю систему аутентификации. В этом случае поиск во внешней системе не производится. Предоставленные учётные данные либо успешно проверяются, либо нет (например, если пользователя нет во внешнем LDAP или пароль неверен, вход невозможен).
Аутентификация с прямой привязкой не требует настройки учетных данных администратора для внешней системы аутентификации в Apigee Edge (как в случае аутентификации с косвенной привязкой); однако необходимо выполнить простой шаг настройки, описанный в разделе Настройка внешней аутентификации .
Доступ к сообществу Apigee
Сообщество Apigee — это бесплатный ресурс, где вы можете связаться с Apigee и другими клиентами Apigee, чтобы задать вопросы, получить советы и решить другие проблемы. Прежде чем публиковать сообщение в сообществе, обязательно проверьте существующие сообщения, чтобы убедиться, что на ваш вопрос уже нет ответа.