ส่วนนี้จะให้ภาพรวมของวิธีที่บริการไดเรกทอรีภายนอกผสานรวมกับการติดตั้ง Apigee Edge สำหรับ Private Cloud ที่มีอยู่ ฟีเจอร์นี้ออกแบบมาเพื่อทำงานร่วมกับบริการไดเรกทอรีที่รองรับ LDAP เช่น Active Directory, SymasLDAP และอื่นๆ
โซลูชัน LDAP ภายนอกช่วยให้ผู้ดูแลระบบสามารถจัดการข้อมูลเข้าสู่ระบบของผู้ใช้จากบริการจัดการไดเรกทอรีแบบรวมศูนย์ ซึ่งอยู่นอกระบบต่างๆ เช่น Apigee Edge ที่ใช้ข้อมูลเข้าสู่ระบบ ฟีเจอร์ ที่อธิบายไว้ในเอกสารนี้รองรับการตรวจสอบสิทธิ์ทั้งแบบโดยตรงและโดยอ้อม
โปรดดูวิธีการโดยละเอียดในการกำหนดค่าบริการไดเรกทอรีภายนอกที่หัวข้อการกำหนดค่าการตรวจสอบสิทธิ์ภายนอก
ผู้ชม
เอกสารนี้ถือว่าคุณเป็นผู้ดูแลระบบส่วนกลางของ Apigee Edge สำหรับ Private Cloud และมีบัญชีในบริการไดเรกทอรีภายนอก
ภาพรวม
โดยค่าเริ่มต้น Apigee Edge จะใช้อินสแตนซ์ SymasLDAP ภายในเพื่อจัดเก็บข้อมูลเข้าสู่ระบบที่ใช้ สำหรับการตรวจสอบสิทธิ์ผู้ใช้ อย่างไรก็ตาม คุณสามารถกำหนดค่า Edge ให้ใช้บริการ LDAP การตรวจสอบสิทธิ์ภายนอกแทนบริการภายในได้ ขั้นตอน สำหรับการกำหนดค่าภายนอกนี้อธิบายไว้ในเอกสารนี้
นอกจากนี้ Edge ยังจัดเก็บข้อมูลเข้าสู่ระบบการให้สิทธิ์การเข้าถึงตามบทบาทในอินสแตนซ์ LDAP ภายในที่แยกต่างหาก ไม่ว่าคุณจะกำหนดค่าบริการตรวจสอบสิทธิ์ภายนอกหรือไม่ ระบบจะจัดเก็บข้อมูลเข้าสู่ระบบการให้สิทธิ์ไว้ในอินสแตนซ์ LDAP ภายในนี้เสมอ เอกสารนี้จะอธิบายขั้นตอนการเพิ่มผู้ใช้ที่มีอยู่ในระบบ LDAP ภายนอกไปยัง LDAP การให้สิทธิ์ของ Edge
โปรดทราบว่าการตรวจสอบสิทธิ์หมายถึงการตรวจสอบข้อมูลประจำตัวของผู้ใช้ ส่วนการให้สิทธิ์ หมายถึงการยืนยันระดับสิทธิ์ที่ผู้ใช้ที่ผ่านการตรวจสอบสิทธิ์ได้รับเพื่อใช้ฟีเจอร์ของ Apigee Edge
สิ่งที่คุณควรรู้เกี่ยวกับ การตรวจสอบสิทธิ์และการให้สิทธิ์ Edge
คุณควรทำความเข้าใจความแตกต่างระหว่างการตรวจสอบสิทธิ์และการให้สิทธิ์ รวมถึงวิธีที่ Apigee Edge จัดการกิจกรรมทั้ง 2 อย่างนี้
เกี่ยวกับการ ตรวจสอบสิทธิ์
ผู้ใช้ที่เข้าถึง Apigee Edge ผ่าน UI หรือ API จะต้องได้รับการตรวจสอบสิทธิ์ โดยค่าเริ่มต้น ระบบจะจัดเก็บข้อมูลเข้าสู่ระบบของผู้ใช้ Edge สำหรับการตรวจสอบสิทธิ์ไว้ในอินสแตนซ์ SymasLDAP ภายใน โดยปกติแล้ว ผู้ใช้ต้องลงทะเบียนหรือได้รับคำขอให้ลงทะเบียนบัญชี Apigee และในขณะนั้นผู้ใช้จะระบุ ชื่อผู้ใช้ อีเมล ข้อมูลเข้าสู่ระบบรหัสผ่าน และข้อมูลเมตาอื่นๆ ข้อมูลนี้จะจัดเก็บและจัดการโดย LDAP การตรวจสอบสิทธิ์
อย่างไรก็ตาม หากต้องการใช้ LDAP ภายนอกเพื่อจัดการข้อมูลเข้าสู่ระบบของผู้ใช้ในนามของ Edge คุณสามารถทำได้โดยกำหนดค่า Edge ให้ใช้ระบบ LDAP ภายนอกแทนระบบภายใน เมื่อกำหนดค่า LDAP ภายนอก ระบบจะตรวจสอบข้อมูลเข้าสู่ระบบของผู้ใช้กับที่เก็บข้อมูลภายนอกนั้นตามที่อธิบายไว้ในเอกสารนี้
เกี่ยวกับการให้สิทธิ์
ผู้ดูแลระบบขององค์กร Edge สามารถให้สิทธิ์ที่เฉพาะเจาะจงแก่ผู้ใช้เพื่อโต้ตอบกับเอนทิตี Apigee Edge เช่น พร็อกซี API, ผลิตภัณฑ์, แคช, การติดตั้งใช้งาน และอื่นๆ สิทธิ์จะ ได้รับผ่านการมอบหมายบทบาทให้แก่ผู้ใช้ Edge มีบทบาทในตัวหลายบทบาท และหากจำเป็น ผู้ดูแลระบบองค์กรสามารถกำหนดบทบาทที่กำหนดเองได้ เช่น ผู้ใช้สามารถได้รับ การให้สิทธิ์ (ผ่านบทบาท) ในการสร้างและอัปเดตพร็อกซี API แต่ไม่ได้รับสิทธิ์ในการ นําไปใช้ในสภาพแวดล้อมที่ใช้งานจริง
ข้อมูลเข้าสู่ระบบหลักที่ระบบการให้สิทธิ์ของ Edge ใช้คืออีเมลของผู้ใช้ ระบบจะจัดเก็บข้อมูลเข้าสู่ระบบนี้ (พร้อมกับข้อมูลเมตาอื่นๆ บางส่วน) ไว้ใน LDAP การให้สิทธิ์ภายในของ Edge เสมอ LDAP นี้แยกจาก LDAP การตรวจสอบสิทธิ์โดยสิ้นเชิง (ไม่ว่าจะภายในหรือภายนอก)
ผู้ใช้ที่ได้รับการตรวจสอบสิทธิ์ผ่าน LDAP ภายนอกจะต้องได้รับการจัดสรรด้วยตนเองใน ระบบ LDAP ของการให้สิทธิ์ด้วย รายละเอียดจะอธิบายไว้ในเอกสารนี้
ดูข้อมูลพื้นฐานเพิ่มเติมเกี่ยวกับการให้สิทธิ์และ RBAC ได้ที่การจัดการผู้ใช้ในองค์กรและการมอบหมายบทบาท
ดูข้อมูลเพิ่มเติมได้ที่ทำความเข้าใจโฟลว์การตรวจสอบสิทธิ์และการให้สิทธิ์ของ Edge
ทำความเข้าใจการตรวจสอบสิทธิ์การเชื่อมโยงโดยตรงและโดยอ้อม
ฟีเจอร์การให้สิทธิ์ภายนอกรองรับการตรวจสอบสิทธิ์การเชื่อมโยงทั้งโดยตรงและโดยอ้อมผ่านระบบ LDAP ภายนอก
สรุป: การตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อมต้องมีการค้นหาใน LDAP ภายนอกเพื่อหาข้อมูลเข้าสู่ระบบที่ตรงกับอีเมล ชื่อผู้ใช้ หรือรหัสอื่นๆ ที่ผู้ใช้ระบุเมื่อเข้าสู่ระบบ การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรงจะไม่มีการค้นหา แต่จะส่งข้อมูลเข้าสู่ระบบไปยังบริการ LDAP โดยตรงและบริการจะตรวจสอบความถูกต้อง การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรงถือว่ามีประสิทธิภาพมากกว่า เนื่องจากไม่มีการค้นหา
เกี่ยวกับการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อม
การตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อม ผู้ใช้จะป้อนข้อมูลเข้าสู่ระบบ เช่น อีเมล ชื่อผู้ใช้ หรือแอตทริบิวต์อื่นๆ และ Edge จะค้นหาระบบการตรวจสอบสิทธิ์สำหรับข้อมูลเข้าสู่ระบบ/ค่านี้ หากผลการค้นหาสำเร็จ ระบบจะดึงข้อมูล DN ของ LDAP จาก ผลการค้นหาและใช้กับรหัสผ่านที่ระบุเพื่อตรวจสอบสิทธิ์ผู้ใช้
ประเด็นสำคัญที่ควรทราบคือการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อมกำหนดให้ผู้โทร (เช่น Apigee Edge) เพื่อระบุข้อมูลเข้าสู่ระบบผู้ดูแลระบบ LDAP ภายนอกเพื่อให้ Edge "เข้าสู่ระบบ" LDAP ภายนอก และทำการค้นหาได้ คุณต้องระบุข้อมูลเข้าสู่ระบบเหล่านี้ในไฟล์การกำหนดค่า Edge ซึ่งจะอธิบายในภายหลังในเอกสารนี้ นอกจากนี้ ยังอธิบายขั้นตอนการเข้ารหัสรหัสผ่าน ข้อมูลเข้าสู่ระบบด้วย
เกี่ยวกับการตรวจสอบสิทธิ์การเชื่อมโยงโดยตรง
เมื่อใช้การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรง Edge จะส่งข้อมูลเข้าสู่ระบบที่ผู้ใช้ป้อนไปยัง ระบบการตรวจสอบสิทธิ์ภายนอกโดยตรง ในกรณีนี้ ระบบจะไม่ทำการค้นหาในระบบภายนอก ข้อมูลเข้าสู่ระบบที่ระบุจะสำเร็จหรือไม่สำเร็จก็ได้ (เช่น หากไม่มีผู้ใช้ใน LDAP ภายนอกหรือรหัสผ่านไม่ถูกต้อง ระบบจะเข้าสู่ระบบไม่สำเร็จ)
การตรวจสอบสิทธิ์การเชื่อมโยงโดยตรงไม่กำหนดให้คุณต้องกำหนดค่าข้อมูลเข้าสู่ระบบของผู้ดูแลระบบสำหรับ ระบบการตรวจสอบสิทธิ์ภายนอกใน Apigee Edge (เช่นเดียวกับการตรวจสอบสิทธิ์การเชื่อมโยงโดยอ้อม) อย่างไรก็ตาม มี ขั้นตอนการกำหนดค่าอย่างง่ายที่คุณต้องทำ ซึ่งอธิบายไว้ใน การกำหนดค่า การตรวจสอบสิทธิ์ภายนอก
เข้าถึงชุมชน Apigee
ชุมชน Apigee เป็นแหล่งข้อมูลฟรีที่คุณสามารถติดต่อ Apigee รวมถึงลูกค้า Apigee รายอื่นๆ เพื่อสอบถามคำถาม รับเคล็ดลับ และแจ้งปัญหาอื่นๆ ได้ ก่อนโพสต์ในชุมชน โปรดค้นหาโพสต์ที่มีอยู่ก่อนเพื่อดูว่าคำถามของคุณมีคนตอบแล้วหรือยัง