Phần này cung cấp thông tin tổng quan về cách các dịch vụ thư mục bên ngoài tích hợp với một bản cài đặt Apigee Edge cho Đám mây riêng hiện có. Tính năng này được thiết kế để hoạt động với mọi dịch vụ thư mục hỗ trợ LDAP, chẳng hạn như Active Directory, SymasLDAP và các dịch vụ khác.
Giải pháp LDAP bên ngoài cho phép quản trị viên hệ thống quản lý thông tin đăng nhập của người dùng từ một dịch vụ quản lý thư mục tập trung, bên ngoài các hệ thống như Apigee Edge sử dụng thông tin đăng nhập đó. Tính năng được mô tả trong tài liệu này hỗ trợ cả xác thực liên kết trực tiếp và gián tiếp.
Để biết hướng dẫn chi tiết về cách định cấu hình dịch vụ thư mục bên ngoài, hãy xem phần Định cấu hình phương thức xác thực bên ngoài.
Đối tượng
Tài liệu này giả định rằng bạn là quản trị viên hệ thống chung của Apigee Edge cho Đám mây riêng tư và bạn có một tài khoản dịch vụ thư mục bên ngoài.
Tổng quan
Theo mặc định, Apigee Edge sử dụng một phiên bản SymasLDAP nội bộ để lưu trữ thông tin đăng nhập được dùng cho xác thực người dùng. Tuy nhiên, bạn có thể định cấu hình Edge để sử dụng dịch vụ LDAP xác thực bên ngoài thay vì dịch vụ nội bộ. Quy trình cho cấu hình bên ngoài này được giải thích trong tài liệu này.
Edge cũng lưu trữ thông tin uỷ quyền truy cập dựa trên vai trò trong một phiên bản LDAP nội bộ riêng biệt. Dù bạn có định cấu hình dịch vụ xác thực bên ngoài hay không, thông tin xác thực uỷ quyền luôn được lưu trữ trong phiên bản LDAP nội bộ này. Quy trình thêm người dùng có trong hệ thống LDAP bên ngoài vào LDAP uỷ quyền Edge được giải thích trong tài liệu này.
Xin lưu ý rằng xác thực là xác thực danh tính của người dùng, còn uỷ quyền là xác minh cấp độ quyền mà người dùng đã xác thực được cấp để sử dụng các tính năng của Apigee Edge.
Những điều bạn cần biết về quy trình xác thực và uỷ quyền Edge
Bạn nên hiểu rõ sự khác biệt giữa xác thực và uỷ quyền, cũng như cách Apigee Edge quản lý hai hoạt động này.
Giới thiệu về quy trình xác thực
Người dùng truy cập vào Apigee Edge thông qua giao diện người dùng hoặc API đều phải được xác thực. Theo mặc định, thông tin đăng nhập của người dùng Edge để xác thực được lưu trữ trong một phiên bản SymasLDAP nội bộ. Thông thường, người dùng phải đăng ký hoặc được yêu cầu đăng ký tài khoản Apigee và tại thời điểm đó, họ cung cấp tên người dùng, địa chỉ email, thông tin đăng nhập mật khẩu và các siêu dữ liệu khác. Thông tin này được lưu trữ và quản lý bằng LDAP xác thực.
Tuy nhiên, nếu muốn sử dụng LDAP bên ngoài để quản lý thông tin đăng nhập của người dùng thay cho Edge, bạn có thể làm như vậy bằng cách định cấu hình Edge để sử dụng hệ thống LDAP bên ngoài thay vì hệ thống nội bộ. Khi bạn định cấu hình một LDAP bên ngoài, thông tin đăng nhập của người dùng sẽ được xác thực dựa trên kho lưu trữ bên ngoài đó, như được giải thích trong tài liệu này.
Giới thiệu về việc uỷ quyền
Quản trị viên tổ chức Edge có thể cấp các quyền cụ thể cho người dùng để tương tác với các thực thể Apigee Edge như proxy API, sản phẩm, bộ nhớ đệm, hoạt động triển khai, v.v. Quyền được cấp thông qua việc chỉ định vai trò cho người dùng. Edge có một số vai trò tích hợp và nếu cần, quản trị viên tổ chức có thể xác định vai trò tuỳ chỉnh. Ví dụ: người dùng có thể được cấp quyền uỷ quyền (thông qua một vai trò) để tạo và cập nhật các proxy API, nhưng không được triển khai các proxy đó vào một môi trường sản xuất.
Thông tin đăng nhập bằng khoá mà hệ thống uỷ quyền Edge sử dụng là địa chỉ email của người dùng. Thông tin đăng nhập này (cùng với một số siêu dữ liệu khác) luôn được lưu trữ trong LDAP uỷ quyền nội bộ của Edge. LDAP này hoàn toàn tách biệt với LDAP xác thực (cho dù là nội bộ hay bên ngoài).
Người dùng được xác thực thông qua LDAP bên ngoài cũng phải được cấp phép theo cách thủ công vào hệ thống LDAP uỷ quyền. Thông tin chi tiết được giải thích trong tài liệu này.
Để biết thêm thông tin về việc uỷ quyền và RBAC, hãy xem bài viết Quản lý người dùng trong tổ chức và Chỉ định vai trò.
Để hiểu rõ hơn, hãy xem thêm bài viết Tìm hiểu các quy trình xác thực và uỷ quyền Edge.
Tìm hiểu về xác thực liên kết trực tiếp và gián tiếp
Tính năng uỷ quyền bên ngoài hỗ trợ cả xác thực liên kết trực tiếp và gián tiếp thông qua hệ thống LDAP bên ngoài.
Tóm tắt: Xác thực liên kết gián tiếp yêu cầu tìm kiếm trên LDAP bên ngoài để lấy thông tin đăng nhập khớp với địa chỉ email, tên người dùng hoặc mã nhận dạng khác do người dùng cung cấp khi đăng nhập. Với phương thức xác thực liên kết trực tiếp, không có hoạt động tìm kiếm nào được thực hiện – thông tin đăng nhập được gửi đến và xác thực trực tiếp bởi dịch vụ LDAP. Xác thực liên kết trực tiếp được coi là hiệu quả hơn vì không cần tìm kiếm.
Giới thiệu về phương thức xác thực liên kết gián tiếp
Với phương thức xác thực liên kết gián tiếp, người dùng nhập thông tin đăng nhập, chẳng hạn như địa chỉ email, tên người dùng hoặc một số thuộc tính khác và Edge sẽ tìm kiếm thông tin đăng nhập/giá trị này trong hệ thống xác thực. Nếu kết quả tìm kiếm thành công, hệ thống sẽ trích xuất DN LDAP từ kết quả tìm kiếm và sử dụng DN đó cùng với mật khẩu được cung cấp để xác thực người dùng.
Điểm chính cần biết là xác thực liên kết gián tiếp yêu cầu người gọi (ví dụ: Apigee Edge) để cung cấp thông tin đăng nhập quản trị LDAP bên ngoài để Edge có thể "đăng nhập" vào LDAP bên ngoài và thực hiện tìm kiếm. Bạn phải cung cấp thông tin đăng nhập này trong một tệp cấu hình Edge, được mô tả ở phần sau của tài liệu này. Các bước cũng được mô tả để mã hoá thông tin xác thực mật khẩu.
Giới thiệu về quy trình xác thực liên kết trực tiếp
Với phương thức xác thực liên kết trực tiếp, Edge sẽ gửi thông tin đăng nhập do người dùng nhập trực tiếp đến hệ thống xác thực bên ngoài. Trong trường hợp này, không có hoạt động tìm kiếm nào được thực hiện trên hệ thống bên ngoài. Thông tin đăng nhập được cung cấp sẽ thành công hoặc không thành công (ví dụ: nếu người dùng không có trong LDAP bên ngoài hoặc nếu mật khẩu không chính xác, thì quá trình đăng nhập sẽ không thành công).
Xác thực liên kết trực tiếp không yêu cầu bạn định cấu hình thông tin đăng nhập của quản trị viên cho hệ thống xác thực bên ngoài trong Apigee Edge (như với xác thực liên kết gián tiếp); tuy nhiên, bạn phải thực hiện một bước định cấu hình đơn giản, được mô tả trong phần Định cấu hình xác thực bên ngoài.
Truy cập vào cộng đồng Apigee
Cộng đồng Apigee là một nguồn tài nguyên miễn phí, nơi bạn có thể liên hệ với Apigee cũng như những khách hàng khác của Apigee để đặt câu hỏi, chia sẻ mẹo và các vấn đề khác. Trước khi đăng bài lên cộng đồng, hãy nhớ tìm kiếm các bài đăng hiện có để xem câu hỏi của bạn đã được trả lời hay chưa.