本節概述如何將外部目錄服務與現有的 Apigee Edge for Private Cloud 安裝項目整合。這項功能可與任何支援 LDAP 的目錄服務搭配使用,例如 Active Directory 和 SymasLDAP 等。
系統管理員可透過外部 LDAP 解決方案,從集中式目錄管理服務管理使用者憑證,這類服務位於 Apigee Edge 等使用這些憑證的系統外部。本文所述功能支援直接和間接繫結驗證。
如需設定外部目錄服務的詳細操作說明,請參閱「設定外部驗證」。
觀眾
本文假設您是 Apigee Edge for Private Cloud 全域系統管理員,且擁有外部目錄服務的帳戶。
總覽
根據預設,Apigee Edge 會使用內部 SymasLDAP 執行個體儲存用於使用者驗證的憑證。不過,您可以設定 Edge 使用外部驗證 LDAP 服務,而非內部服務。本文將說明這項外部設定的程序。
Edge 也會在個別的內部 LDAP 執行個體中,儲存角色型存取權授權憑證。無論是否設定外部驗證服務,授權憑證一律會儲存在這個內部 LDAP 執行個體中。本文將說明如何將外部 LDAP 系統中的使用者新增至 Edge 授權 LDAP。
請注意,驗證是指驗證使用者身分,而授權是指驗證通過驗證的使用者獲准使用 Apigee Edge 功能的權限層級。
Edge 驗證和授權須知
瞭解驗證和授權之間的差異,以及 Apigee Edge 如何管理這兩項活動,對您很有幫助。
關於驗證
透過 UI 或 API 存取 Apigee Edge 的使用者必須經過驗證。根據預設,Edge 使用者驗證憑證會儲存在內部 SymasLDAP 執行個體中。一般來說,使用者必須註冊或受邀註冊 Apigee 帳戶,並提供使用者名稱、電子郵件地址、密碼憑證和其他中繼資料。這項資訊會儲存在驗證 LDAP 中,並由該系統管理。
不過,如果您希望使用外部 LDAP 代表 Edge 管理使用者憑證,可以設定 Edge 使用外部 LDAP 系統,而非內部系統。設定外部 LDAP 後,系統會根據該外部存放區驗證使用者憑證,詳情請參閱本文。
關於授權
Edge 機構管理員可以授予使用者特定權限,讓他們與 Apigee Edge 實體互動,例如 API Proxy、產品、快取、部署作業等。您可以將角色指派給使用者,藉此授予權限。Edge 內建多個角色,如有需要,機構管理員可以定義自訂角色。舉例來說,使用者可獲授權 (透過角色) 建立及更新 API Proxy,但無法將其部署至實際執行環境。
Edge 授權系統使用的金鑰憑證是使用者的電子郵件地址。這項憑證 (以及其他一些中繼資料) 一律會儲存在 Edge 的內部授權 LDAP 中。這個 LDAP 與驗證 LDAP (無論是內部或外部) 完全不同。
透過外部 LDAP 驗證的使用者也必須手動佈建至授權 LDAP 系統。詳情請參閱本文。
如要進一步瞭解授權和 RBAC,請參閱「管理機構使用者」和「指派角色」。
如要深入瞭解,請參閱「瞭解 Edge 驗證和授權流程」。
瞭解直接和間接繫結驗證
外部授權功能支援透過外部 LDAP 系統進行直接和間接繫結驗證。
摘要:間接繫結驗證需要搜尋外部 LDAP,找出與使用者登入時提供的電子郵件地址、使用者名稱或其他 ID 相符的憑證。使用直接繫結驗證時,系統不會執行搜尋,而是直接將憑證傳送至 LDAP 服務並進行驗證。直接繫結驗證不涉及搜尋,因此效率較高。
關於間接繫結驗證
使用間接繫結驗證時,使用者會輸入憑證,例如電子郵件地址、使用者名稱或其他屬性,而 Edge 會在驗證系統中搜尋這個憑證/值。如果搜尋結果成功,系統會從搜尋結果中擷取 LDAP DN,並搭配提供的密碼驗證使用者。
請注意,間接繫結驗證需要呼叫端 (例如Apigee Edge) 提供外部 LDAP 管理員憑證,讓 Edge「登入」外部 LDAP 並執行搜尋。您必須在 Edge 設定檔中提供這些憑證,詳情請參閱本文後續章節。本文也說明如何加密密碼憑證。
關於直接繫結驗證
透過直接繫結驗證,Edge 會將使用者輸入的憑證直接傳送至外部驗證系統。在這種情況下,系統不會在外部系統上執行搜尋。 提供的憑證會成功或失敗 (例如,如果外部 LDAP 中沒有該使用者,或密碼不正確,登入就會失敗)。
直接繫結驗證不需要您在 Apigee Edge 中設定外部驗證系統的管理員憑證 (間接繫結驗證則需要),但您必須執行簡單的設定步驟,詳情請參閱「設定外部驗證」。
存取 Apigee 社群
Apigee 社群是免費資源,您可以在這裡向 Apigee 和其他 Apigee 客戶提出問題、分享訣竅及討論其他問題。在社群中發布貼文前,請務必先搜尋現有貼文,確認是否已有解答。