Bu bölümde, harici dizin hizmetlerinin mevcut bir Apigee Edge for Private Cloud yüklemesiyle nasıl entegre edildiğine dair genel bir bakış sunulmaktadır. Bu özellik, Active Directory ve SymasLDAP gibi LDAP'yi destekleyen tüm dizin hizmetleriyle çalışacak şekilde tasarlanmıştır.
Harici bir LDAP çözümü, sistem yöneticilerinin kullanıcı kimlik bilgilerini merkezi bir dizin yönetim hizmetinden yönetmesine olanak tanır. Bu hizmet, Apigee Edge gibi sistemlerin dışında yer alır. Bu belgede açıklanan özellik, hem doğrudan hem de dolaylı bağlama kimlik doğrulamasını destekler.
Harici dizin hizmeti yapılandırma hakkında ayrıntılı talimatlar için Harici kimlik doğrulama yapılandırma başlıklı makaleyi inceleyin.
Kitle
Bu belgede, Apigee Edge for Private Cloud'un genel sistem yöneticisi olduğunuz ve harici dizin hizmetinde bir hesabınız olduğu varsayılır.
Genel Bakış
Apigee Edge, varsayılan olarak kullanıcı kimlik doğrulaması için kullanılan kimlik bilgilerini depolamak üzere dahili bir SymasLDAP örneği kullanır. Ancak Edge'i dahili olan yerine harici kimlik doğrulama LDAP hizmetini kullanacak şekilde yapılandırabilirsiniz. Bu harici yapılandırmayla ilgili prosedür bu belgede açıklanmıştır.
Edge, role dayalı erişim yetkilendirme kimlik bilgilerini ayrı bir dahili LDAP örneğinde de saklar. Harici bir kimlik doğrulama hizmeti yapılandırıp yapılandırmadığınızdan bağımsız olarak, yetkilendirme kimlik bilgileri her zaman bu dahili LDAP örneğinde saklanır. Harici LDAP sisteminde bulunan kullanıcıları Edge yetkilendirme LDAP'sine ekleme prosedürü bu belgede açıklanmaktadır.
Kimlik doğrulama, kullanıcının kimliğini doğrulamayı ifade ederken yetkilendirme, kimliği doğrulanmış bir kullanıcının Apigee Edge özelliklerini kullanmak için verilen izin düzeyini doğrulamayı ifade eder.
Edge kimlik doğrulaması ve yetkilendirmesi hakkında bilmeniz gerekenler
Kimlik doğrulama ile yetkilendirme arasındaki farkı ve Apigee Edge'in bu iki etkinliği nasıl yönettiğini anlamak faydalıdır.
Kimlik doğrulama hakkında
Apigee Edge'e kullanıcı arayüzü veya API'ler üzerinden erişen kullanıcıların kimliğinin doğrulanması gerekir. Varsayılan olarak, kimlik doğrulama için Edge kullanıcı kimlik bilgileri dahili bir SymasLDAP örneğinde depolanır. Genellikle kullanıcıların Apigee hesabına kaydolması veya kaydolmalarının istenmesi gerekir. Bu sırada kullanıcı adı, e-posta adresi, şifre kimlik bilgileri ve diğer meta veriler sağlanır. Bu bilgiler, kimlik doğrulama LDAP'sinde saklanır ve bu LDAP tarafından yönetilir.
Ancak Edge adına kullanıcı kimlik bilgilerini yönetmek için harici bir LDAP kullanmak istiyorsanız Edge'i dahili LDAP sistemi yerine harici LDAP sistemini kullanacak şekilde yapılandırarak bunu yapabilirsiniz. Harici bir LDAP yapılandırıldığında, kullanıcı kimlik bilgileri bu belgede açıklandığı gibi harici depoya göre doğrulanır.
Yetkilendirme hakkında
Edge kuruluş yöneticileri, kullanıcılara API proxy'leri, ürünler, önbellekler, dağıtımlar vb. gibi Apigee Edge varlıklarıyla etkileşim kurmak için belirli izinler verebilir. İzinler, kullanıcılara rol atanarak verilir. Edge'de çeşitli yerleşik roller bulunur. Gerekirse kuruluş yöneticileri özel roller tanımlayabilir. Örneğin, bir kullanıcıya API proxy'leri oluşturma ve güncelleme yetkisi (bir rol aracılığıyla) verilebilir ancak bunları bir üretim ortamına dağıtma yetkisi verilmez.
Edge yetkilendirme sistemi tarafından kullanılan anahtar kimlik bilgisi, kullanıcının e-posta adresidir. Bu kimlik bilgisi (diğer bazı meta verilerle birlikte) her zaman Edge'in dahili yetkilendirme LDAP'sinde saklanır. Bu LDAP, kimlik doğrulama LDAP'sından (dahili veya harici) tamamen ayrıdır.
Harici bir LDAP üzerinden kimliği doğrulanan kullanıcıların da yetkilendirme LDAP sistemine manuel olarak sağlanması gerekir. Ayrıntılar bu belgede açıklanmaktadır.
Yetkilendirme ve RBAC hakkında daha fazla bilgi için Kuruluş kullanıcılarını yönetme ve Rol atama başlıklı makaleleri inceleyin.
Daha ayrıntılı bilgi için Edge kimlik doğrulama ve yetkilendirme akışlarını anlama başlıklı makaleyi de inceleyin.
Doğrudan ve dolaylı bağlama kimlik doğrulamasını anlama
Harici yetkilendirme özelliği, harici LDAP sistemi üzerinden hem doğrudan hem de dolaylı bağlama kimlik doğrulamasını destekler.
Özet: Dolaylı bağlama kimlik doğrulaması, oturum açma sırasında kullanıcı tarafından sağlanan e-posta adresi, kullanıcı adı veya diğer kimliklerle eşleşen kimlik bilgileri için harici LDAP'de arama yapılmasını gerektirir. Doğrudan bağlama kimlik doğrulamasında arama yapılmaz. Kimlik bilgileri doğrudan LDAP hizmetine gönderilir ve bu hizmet tarafından doğrulanır. Doğrudan bağlama kimlik doğrulamasında arama işlemi yapılmadığı için bu yöntem daha verimli kabul edilir.
Dolaylı bağlama kimlik doğrulaması hakkında
Dolaylı bağlama kimlik doğrulamasında kullanıcı, e-posta adresi, kullanıcı adı veya başka bir özellik gibi bir kimlik bilgisi girer ve Edge, kimlik doğrulama sisteminde bu kimlik bilgisini/değeri arar. Arama sonucu başarılı olursa sistem, LDAP DN'sini arama sonuçlarından çıkarır ve kullanıcıyı doğrulamak için sağlanan şifreyle birlikte kullanır.
Bilmeniz gereken önemli nokta, dolaylı bağlama kimlik doğrulamasının arayanın (ör. Apigee Edge), Edge'in harici LDAP'ye "giriş" yapabilmesi ve arama gerçekleştirebilmesi için harici LDAP yönetici kimlik bilgilerini sağlamalıdır. Bu kimlik bilgilerini, bu belgenin ilerleyen kısımlarında açıklanan bir Edge yapılandırma dosyasında sağlamanız gerekir. Şifre kimlik bilgisinin şifrelenmesiyle ilgili adımlar da açıklanmıştır.
Doğrudan bağlama kimlik doğrulaması hakkında
Doğrudan bağlama kimlik doğrulamasında Edge, kullanıcı tarafından girilen kimlik bilgilerini doğrudan harici kimlik doğrulama sistemine gönderir. Bu durumda, harici sistemde arama yapılmaz. Sağlanan kimlik bilgileri başarılı olur veya başarısız olur (ör. kullanıcı harici LDAP'de yoksa ya da şifre yanlışsa giriş başarısız olur).
Doğrudan bağlama kimlik doğrulaması, Apigee Edge'de harici kimlik doğrulama sistemi için yönetici kimlik bilgilerini yapılandırmanızı gerektirmez (dolaylı bağlama kimlik doğrulamasında olduğu gibi). Ancak, gerçekleştirmeniz gereken basit bir yapılandırma adımı vardır. Bu adım, Harici kimlik doğrulama yapılandırma bölümünde açıklanmıştır.
Apigee topluluğuna erişim
Apigee Topluluğu, sorularınız, ipuçlarınız ve diğer sorunlarınızla ilgili olarak Apigee ile ve diğer Apigee müşterileriyle iletişime geçebileceğiniz ücretsiz bir kaynaktır. Toplulukta yayın yapmadan önce, sorunuzun yanıtlanıp yanıtlanmadığını görmek için mevcut gönderilerde arama yapın.